Fahrerassistenzsysteme Technische Sicherheits- und Qualitätsanforderungen Braunschweiger Verkehrskolloquium Heinrich-Büssing -Spezial Fahrerassistenzsysteme in rechtlicher und normativer Sicht Technische Sicherheits- und Qualitätsanforderungen
Fahrerassistenzsysteme Technische Sicherheits- und Qualitätsanforderungen Normen zu Safety Aspekten von Elektronik Automotive Safety Integrity Level (ASIL) für Fahrerassistenzsysteme nach ISO DIS 26262 Das Spektrum der Sicherheitsanforderungen, z. B. Management, Work-Products, Tools, Feldverhalten Technische Sicherheitsanforderungen handhaben Selbstverständliche Qualitätsanforderungen, auch für Nicht- Sicherheitssysteme Zusammenfassung Assistenz-F2
Sicherheit Sicherheit: Freiheit von unvertretbaren Risiken (DIN EN 61508-4 : 2001-11; Abschnitt 3.5.2) Risiko = Häufigkeit eines Schadens x Schadenausmaß (in Anlehnung an DIN EN 61508-4 : 2001-11; Abschnitt 3.1.5) Sicherheit wird direkt als Qualitätsmerkmal angesehen oder als Teil der Zuverlässigkeit, die Qualitätsmerkmal ist Sicherheit hat im Englischen zwei Entsprechungen Safety (Rechtsanspruch) Security Funktionale Sicherheit ist der Teil der Gesamtsicherheit, der davon abhängig ist, dass ein System oder ein Betriebsmittel korrekte Antworten auf seine Eingangszustände liefert. (DIN EN 61508 Beiblatt 1: 2005-10; Abschnitt 3.1) Sicherheitsintegrität: Wahrscheinlichkeit, dass ein sicherheitsbezogenes System die geforderten Sicherheitsfunktionen unter allen festgelegten Bedingungen innerhalb eines festgelegten Zeitraumes anforderungsgemäß ausführt (DIN EN 61508-4 : 2001-11; Abschnitt 3.5.2) Sicherheitsintegrität = Zuverlässigkeit der Sicherheitsfunktion Qualität Zuverlässigkeit Security Sicherheit Safety Integrity Organizational Safety Safety Functional Safety Gerätesicherheit Assistenz-F3
Sicherheit bedeutet... Safety Schutz von Menschen Umwelt Anlagen vor negativen Auswirkungen der Technik Security Schutz der Information vor Zugriffen Diebstahl Manipulation Assistenz-F4
Stand der Technik IEC 61508 (7 Teile) Industrie übergreifend Sie ist die Mutter der folgenden anwendungsspezifischen Normen: IEC 61511 (3 Teile) Prozessindustrie wie Chemie, konventionelle Kraftwerke (z. B. Gasturbinen) IEC 62061 (1 Teil); ISO 13849 (2 Teile) Maschinen IEC 61513, IEC 62138, IEC 60880 Kerntechnik EN 50156-1 Elektrische Ausrüstung von Feuerungsanlagen DIN EN 50126, DIN EN 50128, DIN EN 50129 Eisenbahn ISO 25119 (ISO TC23 SC19, 4 Teile) Landwirtschaftliche Fahrzeuge ISO 26262 (ISO TC22 SC3, 10 Teile) Straßenfahrzeuge 1.5 anerkannte Regel der Technik technische Festlegung, die von einer Mehrheit repräsentativer Fachleute als Wiedergabe des Standes der Technik angesehen wird ANMERKUNG Ein normatives Dokument zu einem technischen Gegenstand wird zum Zeitpunkt seiner Annahme als der Ausdruck einer anerkannten Regel der Technik anzusehen sein, wenn es in Zusammenarbeit der betroffenen Interessen durch Umfrage- und Konsensverfahren erzielt wurde. Aus DIN EN 45020:2006 DIN EN 45020 Assistenz-F5
Sicherheitsstandards und Software Die Botschaft der Sicherheitsstandards Engineering statt Basteln! Assistenz-F6
Anliegen der Sicherheitsstandards Zur Vollständigkeit, Verständlichkeit und Realisierbarkeit der Aufgabe beitragen (Top Down Strukturierung, Review der Anforderungsspezifikation) Fehler im Design und Development vermeiden (Engineering, insbesondere SW Engineering) Trotzdem aufgetretene Fehler entdecken (Verifikation und Validierung (V&V), Assessment) Gefährliches kaputt gehen von Bauelementen in Grenzen halten (Bauelemente-Auswahl, Selbstüberwachung, Redundanz) Vorkehrungen treffen, um im Design und Development gemachte Fehler, die nicht entdeckt wurden, zu beherrschen (Selbstüberwachung, Diversität) Gute Prozesse etablieren bei Produzenten und Benutzern (Management Prozesse, Schnittstellenvereinbarungen) Assistenz-F7
Fahrerassistenzsysteme Technische Sicherheits- und Qualitätsanforderungen Normen zu Safety Aspekten von Elektronik Automotive Safety Integrity Level (ASIL) für Fahrerassistenzsysteme nach ISO DIS 26262 Das Spektrum der Sicherheitsanforderungen, z. B. Management, Work- Products, Tools, Feldverhalten Technische Sicherheitsanforderungen handhaben Selbstverständliche Qualitätsanforderungen, auch für Nicht- Sicherheitssysteme Zusammenfassung Assistenz-F8
Die ISO 26262 Übersicht Titel der ISO 26262 ist Road vehicles Functional Safety. Die Norm hat zehn Teile. Der jetzt vorliegende Draft International Standard (DIS) erschien im Juli 2009. Der Standard ist für die Anwendung auf sicherheitsrelevante elektrische/elektronische Systeme (E/E-Systeme) in serienproduzierten Personenkraftfahrzeugen mit einem Gesamtgewicht von bis zu 3.500 kg vorgesehen. Assistenz-F9
Die Teile der ISO 26262 Teil 1 enthält die Definitionen der Begriffe Teil 2 enthält die Vorgaben für die Arbeit des Managements Teil 3 befasst sich mit der Konzeptphase Teil 4 enthält die Vorgaben an das integrale E/E System (Hardware- / Software System) Teil 5 ist der Hardware Teil Teil 6 ist der Software Teil Teil 7 befasst sich mit den Anforderrungen an Produktion und Betrieb Teil 8 enthält die Vorgaben an die unterstützenden Prozesse Teil 9 befasst sich mit Analysen zum ASIL und zur Sicherheit Teil 10 ist informativ, enthält also keine normativen Vorgaben für die praktische Anwendung wegen der übergeordneten Gesichtspunkte hilfreich Assistenz-F10
1. Vocabulary 2. Management of functional safety 2-5 Overall Safety Management 2-6 Safety management during item development 2-7 Safety management after release for production 3. Concept phase 3-5 Item definition 3-6 Initiation of the safety lifecycle 3-7 Hazard analysis and risk assessment 3-8 Functional safety concept 4-5 Initiation of product development at the system level 4-6 Specification of the Technical safety requirements 4. Product development: System level 4-7 System design 4-8 Item Integration and Testing 5. Hardware level 5-5 Initiation of product development at the HW level 5-6 Specification of HW safety requirements 5-7 HW design 5-8 HW architectural metrics 5-9 Evaluation of violation of the safety goal due to random HW failures 5-10 HW integration and testing 4-11 Release for Production 4-10 Functional Safety Assessment 4-9 Safety Validation 6. Software level 6-5 Initiation of product development at the SW level 6-6 Specification of SW safety requirements 6-7 SW architectural design 6-8 SW unit design and implementation 6-9 SW unit testing 6-10 SW Integration and testing 6-11 Verification of SW Safety requirements 7. Production and Operation 7-5 Production 7-6 Operation, service (maintenance and repair) and decommissioning Core Processes 8-5 Interfaces within distributed developments 8-6 Specification and management of safety requirements 8-7 Configuration management 8-8 Change management 8-9 Verification 8. Supporting Processes 8-10 Documentation 8-11 Qualification of software tools 8-12 Qualification of software components 8-13 Qualification of hardware components 8-14 Proven in use argument 9-5 Requirements decomposition with respect to ASIL tailoring 9-6 Criteria for coexistence of elements 9. ASIL-oriented and safety-oriented analysis 9-7 Analysis of dependent failures 9-8 Safety analyses 10. Guideline on ISO 26262 (Informative)
ISO DIS 26262 Functional safety Functional safety requirement specification Part 3 Figure 3 - Hierarchy of safety goals and functional safety requirements 3-7 Results of hazard analysis and risk assessment 3-7 Safety goal A ASIL 3-7 Safety goal B ASIL... 3-7 Safety goal n ASIL 3-8 Functional safety requirement Assigned ASIL Allocated to subsystem 3-8 Functional safety requirement Assigned ASIL Allocated to subsystem 3-8 Functional safety requirement Assigned ASIL Allocated to subsystem Assistenz-F12
Defekt Ausfall (en: failure; random HW failure) inhärenter Fehler (en: fault) Spezifikationsfehler Missbrauch (en: misuse) Gefährdungsanalyse und Risikobeurteilung nicht gefährdend Versagen (en: failure; systematic failure) CCF (ISO 26262-1; 1.14) Controllability (ISO 26262-3; 7.4.5.4) Gefährdung (en: hazard) potentielle Schadensquelle (IEC 61508-4; 3.1.2) Safety Analyses (ISO 26262-9, 8) Schaden (en: harm) (IEC 61508-4; 3.1.1) Hazard Analyses (ISO 26262-3, 7) Benutzungsweise des Steuergerätes Gefährlicher Vorfall (en: hazardous event) (IEC 61508-4; 3.1.4) Benutzungsweise des Fahrzeugs * sich in Sicherheit bringen; fliehen Risk Assessment (ISO 26262-3,???) Risiko (IEC 61508-4; 3.1.6) Schadenshäufigkeit (en: Probability of occurrence of harm) Schadensausmaß (en: Severity of harm) Sicherheit (en: safety) Freiheit von unvertretbaren Risiken (IEC 61508-4; 3.1.11) Der Gefahr entgehen* Risikozumutung Gefahr (en: danger) Sachlage, bei der das Risiko größer als das Grenzrisiko ist. (VDI/VDE 3542 Blatt 4)
ASIL Determination
Fahrerassistenzsysteme Technische Sicherheits- und Qualitätsanforderungen Lieferantenabstimmung über die ASILs verschiedener Assistenzsysteme (Veröffentlichung angekündigt bei Euroforum, Elektronik-Systeme im Automobil, Vortragsreihe Sichere Automobilelektronik, München 2010-02-09; die Veröffentlichung ist bisher nicht erfolgt ) OEM-Abstimmung über die ASILs verschiedener Assistenzsysteme Beide Abstimmungen kommen zu ähnlichen Ergebnissen Assistenz-F15
Konservativ Entscheiden Sicherheitstechnische Entscheidungsleitlinie In Zweifelsfällen müssen sicherheitstechnische Entscheidungen konservativ erfolgen, d. h. die (sicherheits-) technisch höherwertige Variante wird gewählt. Wenn kaufmännische oder terminorientierte Entscheidungen kurzfristig angelegt sind, widersprechen sie häufig den sicherheitstechnisch notwendigen Entscheidungen. Assistenz-F16
Fahrerassistenzsysteme Technische Sicherheits- und Qualitätsanforderungen Normen zu Safety Aspekten von Elektronik Automotive Safety Integrity Level (ASIL) für Fahrerassistenzsysteme nach ISO DIS 26262 Das Spektrum der Sicherheitsanforderungen, z. B. Management, Work-Products, Tools, Feldverhalten Technische Sicherheitsanforderungen handhaben Selbstverständliche Qualitätsanforderungen, auch für Nicht- Sicherheitssysteme Zusammenfassung Assistenz-F17
Ist die ISO 26262 ausschließlich Sache der Elektroniker und Softwerker? Weil der Standard IS0 26262 maßgeblich nicht nur nebenbei das Management adressiert ist das Management von diesem Standard betroffen (hauptsächlich Band 2) Weil die Aufgabenstellung für die Elektronik kein Selbstzweck ist sondern aus dem Fahrzeugkonzept resultiert sind die Fahrzeugfachleute von der ISO 26262 betroffen (hauptsächlich Band 3 und 4) Weil die Elektronik nicht nur den Elektronikern genügen soll, sind für das Akzeptieren der Elektronik auch die Fahrzeugfachleute erforderlich (hauptsächlich Band 4) Weil das Beurteilen der Gefährdung, die bei einer Fehlfunktion der Elektronik entsteht, Fahrzeug Sachverstand erfordert, sind von der ISO 26262 auch die Fahrzeugfachleute betroffen (hauptsächlich Band 3 und Band 9) Weil die Produktion nicht von Elektronik- oder Software Entwicklern erfolgt, ist auch die Produktion von der ISO 26262 betroffen (hauptsächlich Band 7) Assistenz-F18
Work Products nach ISO 26262 ISO 26262 nennt ca. 160 unterschiedliche Informationen; Beispiele Application manual Assessment report for capability of the production process Baseline for HW Baseline for SW Calibration data spec Change management plan Change report Change request Change request plan Code: Source Coding guideline Configuration data Configuration management plan Confirmation plan SW tool classification analysis SW tool documentation SW tool qualification plan SW tool qualification report System architecture System architecture assessment report on coping with the HW random failures System design spec System level integration and testing plan System requirements Assistenz-F19
Notwendigkeit / Bedarf Tool Qualifizierung Das für den ISO 26262 FDIS, Teil 8, Erwartete Den Tool Impact (TI) feststellen, das ist the possibility that a malfunction of a particular software tool can introduce or fail to detect errors in a safety-related item or element being developed. Die Tool error Detection (TD) feststellen, das ist the confidence in measures that prevent the software tool from malfunctioning and producing corresponding erroneous output, or in measures that detect that the software tool has malfunctioned and has produced corresponding erroneous output. Aus Tool Impact (TI) und Tool error Detection (TD) gemäß folgender Tabelle den notwendigen Tool Confidence Level (TCL) ermitteln: TD1 TD2 TD3 TI1 TCL1 TCL1 TCL1 TI2 TCL1 TCL2 TCL3 Assistenz-F20
Feldverhalten; Beispiel für Anforderungen in 26262 und 61508
Fahrerassistenzsysteme Technische Sicherheits- und Qualitätsanforderungen Normen zu Safety Aspekten von Elektronik Automotive Safety Integrity Level (ASIL) für Fahrerassistenzsysteme nach ISO DIS 26262 Das Spektrum der Sicherheitsanforderungen, z. B. Management, Work- Products, Tools, Feldverhalten Technische Sicherheitsanforderungen handhaben Selbstverständliche Qualitätsanforderungen, auch für Nicht- Sicherheitssysteme Zusammenfassung Assistenz-F22
Vorgaben in Sicherheitsstandards Mengengerüst ISO 26262: 2009 [ASIL D] IEC 61508: 1998-2000 [SIL 3] Teil Vorgaben Teil Vorgaben Teil Vorgaben 1./. 4./. 4./. 2 132 3 86 4 250 5 181 1 2 128 194 IEC 61508: 2010 [SIL 3] 1 170 2 285 6 291 3 200 3 244 7 55 8 241 9 78 Summe 1314 522 699 Assistenz-F23
Vorgaben in Software-Sicherheitsstandards Mengengerüst Standard Anzahl Gezählt mit Vorgaben IEC 61508, Teil 3, Ausgabe 1 200 RiskCAT 61508, V5.9f IEC 61508, Teil 3, Ausgabe 2.0 244 RiskCAT 61508, V6.2a ISO DIS 26262, Teil 6 (PKW) 291 RiskCAT 26262, V6.1a DIN EN 50128 (Bahn) 488 RiskCAT 50128, V6.1f IEC 60880 (Nuklear) 842 RiskCAT 60880, V5.9f Gezählt sind Mandatory und Highly Recommended Prescriptions Assistenz-F24
Vorschlag für die Arbeit mit Standards Für alle Arbeiten Vor Beginn der Arbeiten einen Überblick über den zur Diskussion stehenden Standard verschaffen, so wie es z. B. in Fachgesprächen oder Seminaren geschieht. Die für den anstehenden Arbeitsschritt relevanten Vorgaben aus dem Standard auswählen oder sich vergewissern, dass die Standards für den Arbeitsschritt keine Anleitung bieten. Das kann bei der aktuellen IEC 61508 z. B. für Hardwareaspekte der Fall sein. Von den ausgewählten Vorgaben eine Checkliste generieren oder sie ins Requirements Management aufnehmen. Werden für den anstehenden Arbeitsschritt relevante Vorgaben übergangen, die Motivation für das Übergehen notieren. Entwicklung von Produkten und Befähigung durch Prozesse Die ausgewählten Vorgaben bei der Entwicklung von Produkten und Bereitstellung von Prozessen berücksichtigen Verifikation & Validierung, QM, Beurteilung Das Erfüllen der ausgewählten Vorgaben in der Checkliste bzw. im Requirements Management notieren. Das erfüllende Work Product (mit einem Satz) referenzieren Die Übereinstimmung mit jeder Vorgabe, den Themen und der Norm insgesamt bewerten
Ablauf bei der Arbeit mit Standards Aufgabenstellung Entwicklung Prozess/Produkt Work Products V&V Ergebnisse bewerten Vorgaben filtern Verifikationsplan Validationsplan V & V V&V Ergebnisse Überprüfungsplan Handlungsanleitung Vorgaben filtern QS Plan Überprüfungsergebnisse Hersteller Überprüfer Qualitätssicherung Überprüfung QS Ergebnisse QS Ergebnisse bewerten Überprüferg. bewerten Assistenz-F26
Ablauf bei der Arbeit mit Standards Aufgabenstellung Entwicklung Prozess/Produkt Work Products V&V Ergebnisse bewerten Verifikationsplan Validationsplan V & V V&V Ergebnisse Vorgaben filtern RiskCAT QS Plan Qualitätssicherung QS Ergebnisse QS Ergebnisse bewerten Überprüfungsergebnisse Überprüfungsplan Überprüfung Überprüferg. bewerten Assistenz-F27
Funktionen und Aufbau von RiskCAT 1. Festlegen der erforderlichen Zuverlässigkeit / Sicherheit 2. Information über die Vorgaben 3. Auswählen von Vorgaben 4. Vergleichen von Vorgaben 5. Export der ausgewählten Vorgaben 6. Unterstützung, z. B. Begriffe nachschlagen RiskCAT Datenbank RiskCAT Programm z. B. zur IEC 61508, ISO 13849, ISO 26262 Projekt speichern / zurückladen Ausgewählte Vorgaben Rich text format für das Einbinden in Kundendokumente Schnittstellen zu Artisan Studio CaliberRM DOORS QualiCAT Assistenz-F28
Standard Vorgaben importiert in der UML / SysML Enzwicklungsumgebung Artisan Studio
Standard Vorgaben importiert im Requirements Management Tool Doors
Unterschiede in den Anforderungen bei verschiedenen ASILs Anzahl der Anforderungen Verbindlichkeitsgrad Erfüllungsschärfe Assistenz-F31
Ablauf bei der Arbeit mit Standards Aufgabenstellung Entwicklung Prozess/Produkt Work Products Vorgaben filtern Handlungsanleitung Verifikationsplan Validationsplan QS Plan Prüfung (V & V) Qualitätssicherung V&V Ergebnisse QS Ergebnisse Ergebnisse bewerten QualiCAT Vorgaben filtern Überprüfungsergebnisse Überprüfungsplan Überprüfung Assistenz-F32
Bewerten der erreichten Übereinstimmung
Bewerten der erreichten Übereinstimmung
Fahrerassistenzsysteme Technische Sicherheits- und Qualitätsanforderungen Normen zu Safety Aspekten von Elektronik Automotive Safety Integrity Level (ASIL) für Fahrerassistenzsysteme nach ISO DIS 26262 Das Spektrum der Sicherheitsanforderungen, z. B. Management, Work- Products, Tools, Feldverhalten Technische Sicherheitsanforderungen handhaben Selbstverständliche Qualitätsanforderungen, auch für Nicht- Sicherheitssysteme Zusammenfassung Assistenz-F35
Sicherheits-Standards Sicherheits-Standards wie die IEC 60880 oder IEC 61508 dürfen nur Sicherheits-Aspekte festlegen. Sie dürfen das einfach nur dem Stand der Technik Entsprechende (Software-) Engineering nicht beschreiben. Dann und wann schreiben Arbeitsgruppen ihnen besonders wichtige allgemeine Dinge trotzdem in Sicherheits-Standards. Damit das ISO oder IEC Sekretariat das dann nicht streicht Ein dem Stand der Technik entsprechendes (Software-) Engineering wird selbstverständlich und deshalb meist auch unerwähnt vorausgesetzt. Nach dem Stand der Technik Übliches zu unterlassen nur weil es im Sicherheits-Standard nicht explizit benannt ist ist unzulässig. Im folgenden Abschnitt daher ein Ausflug zu Selbstverständlichkeiten Assistenz-F36
Fahrerassistenzsysteme Selbstverständlichkeiten Keep it simple Erlernbares Verhalten Durchschaubares Verhalten Konsistentes Verhalten Assistenz-F37
ISO/IEC JTC1/SC7
Functional Safety Management eine Anleitung zur Umsetzung VDI/VDE 2180.2
Functional Safety Management eine weitere Anleitung zur Umsetzung Beschreibung des Zwecks des Zuverlässigkeitsprogramms im Handout VDI 4003
Functional Safety Management eine weitere Anleitung zur Umsetzung MIL 882
Fahrerassistenzsysteme Technische Sicherheits- und Qualitätsanforderungen Normen zu Safety Aspekten von Elektronik Automotive Safety Integrity Level (ASIL) für Fahrerassistenzsysteme nach ISO DIS 26262 Das Spektrum der Sicherheitsanforderungen, z. B. Management, Work- Products, Tools, Feldverhalten Technische Sicherheitsanforderungen handhaben Selbstverständliche Qualitätsanforderungen, auch für Nicht- Sicherheitssysteme Zusammenfassung Assistenz-F42
Zusammenfassung aus England The right process, tools and people (qualified/trained) will turn out embedded systems faster and more reliably (better tested) than the low cost ad-hoc systems used now. Doing it properly is not expensive. It just requires discipline. (Aus einer E-Mail von Chris Hills, Phaedrus Systems Ltd, vom 17. September 2008) Using the techniques commonly associated with safety critical and high reliability embedded development you can get reliable embedded systems to market on time and on budget at a lower cost than the usual low cost ad-hoc systems currently used. (Chris Hills, Phaedrus Systems Ltd, in der Ankündigung einer Roadshow vom 17. September 2008) Assistenz-F43