Funktionale Sicherheit: Wie macht man das? Andreas Stucki, Solcept AG 1
Ach ja, und der Kunde verlangt noch SIL 3... Was in den Normen steht... klare Unklarheit 2
Was kommt in den nächsten 30 Minuten auf Sie zu? Was, wieso, was heisst das? Einführung/ Begriffe Was tut der Ingenieur? Engineering Was tut das Projektteam? Support/ Projektmanagement Was tut die Firma? Prozessmanagement Wie kommt man da hin? Was möchten Sie noch wissen? Fragen 3
Um was geht es überhaupt? Scope dieses Vortrages embedded Software/ Hardware Entwicklung d.h. ohne restlichen Lebenszyklus: Produktion..Entsorgung Startpunkt normale Entwicklung Achtung QM / DAL E ist bereits mehr! 4
Wer hat's erfunden? Etwas Geschichte DO-178 (1982, US, Airliner) Grundkonzepte, Mutter aller Normen IEC 61508 (1998, D, Chemie) Schirmnorm: viele abgeleitete Normen für Branchen (same but different...) 5
Was heisst denn...? Begriffe Funktionale Sicherheit Sicherheit, die von der Funktion abhängt (nicht Atex, Hochspannung...) Systematische/ zufällige Fehler eingebaut im Design/ treten zufällig auf (nur in Hardware!) Artefakt 6 Produkt (Dokument, Code, Daten...)
Wieso machen die das? Grundprinzipien 1 Prozesse strukturiertes Vorgehen Use Quality to Manage Risk Divide & Conquer Planung 7
Wieso machen die das? Grundprinzipien 2 Evidenz was nicht geschrieben ist, gibt es nicht: Recht... 4(..6) Augen Prinzip Review, Review... Gesamtsystem-"Zertifizierung" grundsätzlich: Flugzeug, Produkt, Fahrzeug... 8
Was tut der Ingenieur? Hazard/ Risiko Analyse SIL/ DAL/ ASIL/ PL hergeleitet von Schaden & Häufigkeit 9
Was tut der Ingenieur? Sicherheitsanalysen 1 Auf jedem Level System/ Subsystem/ Komponente/ Funktion Viele Varianten wichtigste: FTA & FMEA 10
Was tut der Ingenieur? Sicherheitsanalysen 2 FTA deduktiv: vom Fehler zur Ursache Einsatz: (System-)Design, top-down FMEA induktiv: von der Ursache zum Fehler Analyse, bottom-up 11
Was tut der Ingenieur? Sicherheitsanalysen: FTA Fault Tree (Fehlerbaum) Analyse qualitativ quantitativ 12
Was tut der Ingenieur? Sicherheitsanalysen: FMEA Failure Modes and Effects Analysis qualitativ quantitativ FMEDA mit Diagnose: HW & SW... 13
Was tut der Ingenieur? V-Modell Data Mangement Modell nicht Gantt Chart 14
Was tut der Ingenieur? Requirement Traceability 1 Anforderungen! horizontal/ vertikal & bidirektional derived Anfoderungen d.h. nicht rückführbar auf höhere Ebene benötigen Sicherheitsanalyse: möglichst vermeiden 15
Was tut der Ingenieur? Requirement Traceability 2 16
Was tut der Ingenieur? Verifikation Reviews für alle Artefakte Checklisten Evidenz! Tests Testspezifikationen, Testinstruktionen Evidenz 17
Was tut der Ingenieur? Verifikation: Tests Anfoderungs-basiert kein Test ohne Anforderung (explizit in DO-178C: Luftfahrt) Coverage Analyse aller Code getestet (inkl. alle Branches genommen) nicht Coverage Test: Analyse ob Tests allen Code abdecken 18
Was tut der Ingenieur? Interne Standards Design Standards hierarchisch, no hidden data flow... Coding: sicheres Subset der Sprache Codierstandards, z.b. MISRA Tool: statische Analyse 19
Was tut der Ingenieur? Qualität Komponenten AEC-Q Industrieerfahrung Ausfallwahrscheinlichkeiten Standards meist alt: Evidenz!? 20
Was tut der Ingenieur? Tools Tool Klassifizierung kann das Tool Fehler generieren? Tool Qualification zeigen, dass das Tool diese Fehler nicht generiert 21
Was tut das Projektteam? Konfigurationsmanagement was passt/ gehört zusammen alle Artefakte! Releases machen, inkl. Audit Aufbewahrung in 20 Jahren dasselbe Binary erstellen... 22
Was tut das Projektteam? Änderungsmanagement nach dem ersten formalen Release! Change Control Board definierter Ablauf mit Evidenz braucht es die Änderung wirklich? wie wirkt sich die Änderung auf Sicherheit aus? Verifikation der Änderungen 23
Was tut das Projektteam? Pläne Prozesse, Rollen, Verantwortlichekeiten... als Pläne zusammengefasst Safety Plan/ PXAC... Verifikationsplan Konfigurationsmamagementplan... 24
Was tut das Projektteam? Audits Unabhängigkeit für wichtige Artefakte, je nach Level 6 Augen Prinzip häufig durch Dritte ( TÜV, Kunde, Autoritäten (EASA)) 25
Was tut das Projektteam? Statements Safety Case/ Accomplishment Summary was vom Plan wurde wie durchgeführt warum ist das Produkt sicher Das wichtige Dokument für Kunde/ Autorität 26
Was tut die Firma? Prozesse/ Modelle CMMI/ automotive SPICE Luftfahrt: Design Organization Approval (evtl. vom Kunden) viel mehr als ISO9001!!! gelebt? z.b. durch Off-Shoring Dienstleister? 27
Was tut die Firma? Sicherheitskultur/ Level 3 Sicherheitskultur Proaktive Einstellung zu Sicherheit, Rechenschaft, Umgang mit Fehlern Level 3: Prozesse sind definiert & werden gelebt Tailoring: je nach Anforderungen des Projektes verschieden Kontinuierliche Prozessverbesserung 28 lernende Organisation
Wie kommt man dahin? Empfehlungen Modell auswählen CMMI/ aspice Anzuwendende Sicherheitsnormen definieren Gap Analyse durchführen (lassen) Wo müssen wir aktuellen Arbeitsweise verbessern? 29
Wie kommt man dahin? Aufwand Solcept 2011..2017 (Mitarbeiter: 8..15) 2..4% der jährlichen Arbeitszeit ca. 30'000 CHF/ Audit Resultat CMMI Level 3 (SCAMPI C 2016) bereit für: DO-178, ISO 26262, IEC 61805 30
Wie kommt man dahin? Andere Wege? Big-Bang Ansatz: Prozesse einkaufen? bestehende Arbeitsweisen? Prozesse gemäss Sicherheitsnorm machen? kein Fokus auf Effizienz Lies mal die Norm und mach die Dokumente? Level 3, Sicherheitskultur? 31
Was möchten Sie noch wissen? Sie finden mich auch in der Ausstellung, sonst unter: Andreas Stucki a.stucki@solcept.ch 32
Änderungsverzeichnis Version Entwurf/ für Datum Review/ Freigegeben Verantwortlich Kommentare/ Änderungsverlauf 00.01 Entwurf 2017-08-15 a2s first draft 00.02 für Review 2017-08-23 a2s review QPR (ME) 00.03 Entwurf 2017-08-24 a2s Input ME eingearbeitet 01.00 Freigegeben 2017-08-25 a2s Typos korrigiert für Präsentation-Datenbank swisst.net Solcept AG 33