Funktionale Sicherheit in Automotive und Luftfahrt (ISO26262 und DO 178BC) Otto Alber, Peter Wittmann 09.10.2013
Einleitung Modell-basierte Entwicklung bei Silver Atena Erfahrung mit Modell-basierter Entwicklung seit über 10 Jahren H2-Steuergerät für CleanEnergy BMW - IEC61508 SIL-3 A400M Triebwerksregler DO-178B Level A ( ASIL D) Einsatz unterschiedlicher Entwicklungsumgebungen Entwicklung eines eigenen Code Generators EPI Europrop International Seite 2
Einleitung Dieser Vortrag möchte zeigen, dass der effiziente Einsatz der Modell-basierten Entwicklung Zeit und Kosten um ca. 25% verringert. die Anschaffung eines Code-Generators allein nicht ausreicht, man muss die gesamte Entwicklung betrachten: Prozess, Richtlinien, Standards und Tool-Landschaft. Und das zu Beginn der Entwicklung Ausflug in die Prozesslandschaft SW-Entwicklung für Luftfahrt und Automotive sich problemlos mit derselben Entwicklungsumgebung durchführen lässt. die Qualifikation eines Code-Generators sich nur bedingt rechnet. Hinweis Der Begriff Software in diesem Vortrag bezieht sich immer auf sicherheitsrelevante SW nach ASIL D Seite 3
Inhalt Welche Normen existieren in der Automobilindustrie und der Luftfahrt? Kann es einen gemeinsamen SW-Entwicklungsprozess für beide Branchen geben? Wie kann Model-basierte Entwicklung eingesetzt werden? Wo kann Effizienzsteigerung erzielt werden? Welchen Beitrag kann Tool Qualifikation liefern? Seite 4
Welche Normen existieren in der Automobilindustrie und der Luftfahrt? Automobilindustrie: ISO 26262 (Nov. 2011) Road vehicles Functional safety Betrifft System Hardware Software Luftfahrt: Modell-basierte Entwicklung wird in Part 6 Product development at the software level behandelt Betrifft nur DO-178C (Dez. 2012) Software Software Considerations in Airborne Systems and Equipment Certification Eigene Ableitung für MBD (nicht nur Autocode) DO-331 (Dez. 2012) Model-Based Development and Verification Supplement to DO-178C Seite 5
Welche Normen existieren in der Automobilindustrie und der Luftfahrt? Unterschiede und Gemeinsamkeiten Planung Planungsphase vor Beginn der Entwicklung Safety Plan Over. Project Plan Validation Plan Geforderte Inhalte der Pläne sehr ähnlich PSAC SDP SVP Entwicklungsmodell V-Modell V-Modell für beide geeignet Entwicklungsmodell nicht vorgegeben nach V- Modell SW- Unit-s erforderlich Abdeckung aller und der Struktur Flexible Gestaltung bei Einhaltung der Coverage Nachweise Seite 6
Welche Normen existieren in der Automobilindustrie und der Luftfahrt? Zulassung Begleitung der Zulassung durch Es existiert keine Behörde, welche eine Zulassung nach ISO 26262 erteilt. In den ECE-Regelungen wird derzeit die ISO 26262 nicht angezogen. EASA für Europa FAA für USA Mit der wichtigste Meilenstein ist das Planungsreview Durch Festlegung und Abstimmung der Aktivitäten des Entwicklungsprozesses, Konfigurationsmanagement und Qualitätssicherung ist der Weg zur Erreichung der Zulassung bereits geebnet Anschließend muss dieser nur noch gegangen werden und man erreicht das Ziel mit hoher Wahrscheinlichkeit Seite 7
Inhalt Welche Normen existieren in der Automobilindustrie und der Luftfahrt? Kann es einen gemeinsamen SW-Entwicklungsprozess für beide Branchen geben? Wie kann Model-basierte Entwicklung eingesetzt werden? Wo kann Effizienzsteigerung erzielt werden? Welchen Beitrag kann Tool Qualifikation liefern? Seite 8
Kann es einen gemeinsamen SW- Entwicklungsprozess für beide Branchen geben? Planungsphase vor Start der Entwicklung Planungsdokumente: Entwicklungsprozess Entwicklungsergebnisse z.b. in Form eines Dokumentenbaumes Anzuwendende Standards Anforderungs-Standard Design-Standard Modellier-Standard Programmier-Standard Konfigurationsmanagement Identifikation der Entwicklungsergebnisse Baseline Konvention zur Identifikation von Entwicklungsständen Qualitätssicherung Methoden zur Prüfung der Einhaltung der Planungsdokumente Standards definieren projektübergreifend die Grundlagen für die Entwicklung Lessons Learned Best Practices Firmen Know-How Ein Dokumentenbaum definiert die Beziehungen zwischen den Dokumenten Traceability für Design und Verifikation Seite 9
Kann es einen gemeinsamen SW- Entwicklungsprozess für beide Branchen geben? V-Modell nach ISO 1 System 10 System 2 Komponente 9 Komponente 3 SW 8 SW 4 SW Architektur und Design 7 SW Integration & 5 SW Unit Design & Implementierung 6 SW Unit Seite 10
Kann es einen gemeinsamen SW- Entwicklungsprozess für beide Branchen geben? V-Modelle im Vergleich 1 System 10 System 1 System 8 System 2 Komponente 9 Komponente 2 Komponente 7 Komponente 3 SW 8 SW 3 SW 6 SW 4 SW Architektur und Design 7 SW Integration & 4 SW Design 5 SW Unit Design & Implementierung 6 SW Unit 5 Implementierung Seite 11
Inhalt Welche Normen existieren in der Automobilindustrie und der Luftfahrt? Kann es einen gemeinsamen SW-Entwicklungsprozess für beide Branchen geben? Wie kann Model-basierte Entwicklung eingesetzt werden? Wo kann Effizienzsteigerung erzielt werden? Welchen Beitrag kann Tool Qualifikation liefern? Seite 12
Wo kann Model-basierte Entwicklung eingesetzt werden? Wo liegen Potentiale zur Effizienzsteigerung? Design: Phase 2, 3 und 4: Modellierung von Signalflüssen und Signaleigenschaften (Zeitliches Verhalten) und Schnittstellen Phase 5: Modellierung des Algorithmus Phase 5: Autocode-Generierung Prüfungen: Vollständigkeit und Konsistenz Validierung der Schnittstellen Validierung der funktionalen : SW System Komponente SW 1 System 2 Komponente 3 SW 4 SW Architektur und Design 10 System 9 Komponente 8 SW 7 SW Integration & Design Dokument 5 SW Unit Design & Implementierung vektoren 6 SW Unit Seite 13
Wo kann Model-basierte Entwicklung eingesetzt werden? Wo liegen Potentiale zur Effizienzsteigerung? Metriken Automotive ASIL-D Konventionelle Entwicklung Modell-basierte Entwicklung 50 h/unit 38 h/unit Kostenvorteil 25% 8 h/unit 6 h/unit 3 SW 8 SW 6 h/unit 4 h/unit 4 SW Architektur und Design 7 SW Integration & 16 h/unit 10 h/unit 5 SW Unit Design & Implementierung 6 SW Unit 21 h/unit 18 h/unit 1 Unit 50 LoC (Lines of Code) Seite 14
Wo kann Model-basierte Entwicklung eingesetzt werden? Wo liegen Potentiale zur Effizienzsteigerung? Iterationen 1 2 3 Konventionelle SW-Entwicklung 50 h/unit 22 h/unit 44% 19 h/unit 38% Korrektur Design 9 h/unit 18% Korrektur Implementierung Modell-basierte SW-Entwicklung 38 h/unit 25 h/unit 67% 8 h/unit 20% 5 h/unit 13% Seite 15
Inhalt Welche Normen existieren in der Automobilindustrie und der Luftfahrt? Kann es einen gemeinsamen SW-Entwicklungsprozess für beide Branchen geben? Wie kann Model-basierte Entwicklung eingesetzt werden? Wo kann Effizienzsteigerung erzielt werden? Welchen Beitrag kann Tool Qualifikation liefern? Seite 16
Welchen Beitrag kann Tool Qualifikation liefern? Aktuelle Situation Automatisch generierter Code muss für die Zulassung so geprüft werden wie manuell erstellter Code Der Code-Generator ist nicht kreativ und generiert Code immer von gleicher Qualität Trotzdem müssen manuelle Code Reviews durchgeführt werden Praxis: Der Autocode-Generator arbeitet fehlerfrei und im Review werden keine Fehler gefunden Qualität der Code Reviews ist zumindest fragwürdig Seite 17
Welchen Beitrag kann Tool Qualifikation liefern? Nutzen / Kosten Was spart man sich durch die Tool Qualifikation eines Code-Generators? Ausschließlich die Kosten für die manuellen Code-Reviews Ca. 100 pro Unit mit ca. 50 LoCs Keine Einsparungen beim en Was kostet die Tool Qualifikation eines Code-Generators? Eigenentwicklung nach einem Sicherheitsstandard Die Größe unseres intern entwickelten Code-Generators beträgt ca. 4.500 LoCs Entsprechend den zuvor gezeigten Metriken ergibt sich ein Aufwand von ca. 300.000 Beschaffung eines qualifizierbaren Code-Generators Kosten 150 300T Kosten für einen sog. Qualifikation Kit ca. 100.000 Durchführung der Qualifikation in eigener Entwicklungsumgebung ca. 50.000 Einsparung 100 /Unit Seite 18
Welchen Beitrag kann Tool Qualifikation liefern? Bilanz Ab einer Software Größe von 1.500 3000 Units mit 50 LoC beginnt sich der Einsatz eines Qualifizierten Code-Generators auszuzahlen (inklusive Iterationen) Unser H2-Steuergerät hat 80.000 LoC automatisch generiertem Code => 1.600 Units mit 50 LoC Zusätzlich müssen noch Wartungskosten und die Einschränkung der Flexibilität der Entwicklungsumgebung betrachtet werden. Seite 19
Zusammenfassung Modell-basierte Entwicklung spart: 25% Entwicklungskosten und Zeit Begründung: Frühzeitig abgesicherte und einfaches Design Wiederverwendung von vektoren Ausschlaggebenden Erfolgsfaktoren hierzu sind: Durchgängig geplanter, dokumentierter und gelebter Entwicklungsprozess Durchgängiges konzept Auf den Entwicklungsprozess abgestimmte Toolumgebung Qualifizierte Tools: Sparen Review Kosten Verringern aber nicht den aufwand Rechnen sich eher bei mehrfacher Verwendung Seite 20
Vielen Dank für Ihre Aufmerksamkeit! Seite 21