ISO 26262

Die ISO 26262 („Road vehicles – Functional safety“) ist eine entstehende ISO-Norm für sicherheitsrelevante elektrische/elektronische Systeme in Kraftfahrzeugen. Die ISO 26262 wird ein Prozess-Rahmenwerk und Vorgehensmodell zusammen mit geforderten Aktivitäten und Arbeitsprodukten sowie anzuwendenden Methoden definieren. Die Umsetzung der Norm soll die funktionale Sicherheit eines Systems mit elektrischen/elektronischen Komponenten im Kraftfahrzeug gewährleisten. Damit ist die kommende Norm eine Ableitung der IEC 61508 an die spezifischen Gegebenheiten im Automobilbereich.

Im April 2011 wurden die Teile 1 bis 9 der ISO 26262 als Final Draft International Standard (FDIS) veröffentlicht. Die ISO 26262 wird von der ISO-Arbeitsgruppe „ISO TC22/SC3/WG16“ bearbeitet. Der FDIS wurde Ende Juni 2011 von den an der Abstimmung beteiligten Nationen angenommen, so dass der Veröffentlichung als internationale Norm nichts mehr im Wege steht. (Die ISO hat am 29. Juni 2011 den Status der Teile 1 bis 9 auf „International Standard under publication“ geändert.^[1]) Nach den ISO-Regularien wird sich die endgültige Norm vom FDIS inhaltlich nicht unterscheiden, lediglich redaktionelle Änderungen sind noch möglich. Die an der Normung beteiligten Mitglieder verwenden die Entwürfe der ISO 26262 bereits zum Teil.

Da die Erstellung von Teil 10 (informative Guideline) längere Zeit in Anspruch nahm, wurde für diesen Teil ein zweiter, zwischenzeitlich abgeschlossener DIS-Ballot durchgeführt, um den beteiligten Gremienmitgliedern eine zusätzliche Möglichkeit zur Kommentierung zu geben. Es ist davon auszugehen, dass dieser Teil - der nicht zum normativen Gesamtwerk der ISO 26262 gehört - nicht zusammen mit den übrigen Teilen als ISO-Norm veröffentlicht werden wird, sondern dass sich die Veröffentlichung verzögern wird.

Anwendungsbereich und Hintergrund

Mit der stetig wachsenden Komplexität elektronischer Komponenten in Fahrzeugen steigt auch die Möglichkeit von Fehlfunktionen. Ist eine sicherheitsrelevante Komponente von einer solchen Fehlfunktion betroffen, können im schlimmsten Fall Menschen zu Schaden kommen. Würde z. B. ein ESP-Steuergerät in einem Kraftfahrzeug bei zügiger Fahrt unberechtigt eine Vollbremsung auslösen, könnte dies zu einer Massenkarambolage führen. Um das Risiko von Gefahr bringenden Fehlfunktionen von sicherheitsrelevanten Elektronik-Systemen zu minimieren, sollten diese unter Berücksichtigung einschlägiger Normen entwickelt werden. In der Vergangenheit galt die Empfehlung, elektrische/elektronische Systeme, die eine sicherheitsrelevante Funktion in Automobilen ausführen und deren Ausfall ein maßgebliches Risiko für Mensch oder Umwelt bedeutet, auf Basis der IEC 61508 zu entwickeln. Diese Norm ist generisch auf sicherheitsrelevante Produkte, wie ein Sicherheitsschaltrelais für eine Notstromabschaltung, anwendbar. Da dieser Standard für moderne Automotive-Anwendungen nicht ausreichend bzw. nicht spezifisch genug ist, wurde eine neue Norm erstellt.

Zu den Anwendern dieses Standards gehören Automobilhersteller, Automobilzulieferer und Prüfinstitute. Möchte beispielsweise ein Automobilhersteller oder -zulieferer ein sicherheitsrelevantes System bzw. eine Komponente entwickeln, muss dies anhand einer Sicherheitsnorm wie der ISO 26262 erfolgen. Um die funktionale Sicherheit des Produkts zu gewährleisten, wird von der ISO 26262 ab einem entsprechenden Sicherheitslevel gefordert, dass eine von der Entwicklung organisatorisch unabhängige Stelle (z. B. ein externes Prüfinstitut, u. U. aber auch eine interne QM-Stelle) hinzugezogen wird. Eine Prüfung durch eine für ISO 26262 gemäß EN ISO/IEC 17025 akkreditierte Prüfstelle kann dann neben dem Sicherheitsnachweis auch dem Reduzieren der Risiken im Bereich der Produkthaftung im juristischen Sinn dienen.

Die ISO 26262 ist nach einhelligem Verständnis der deutschen Experten zur funktionalen Sicherheit als Beitrag zum Stand der Wissenschaft und Technik in Bezug auf die funktionale Sicherheit von Straßenfahrzeugen anzusehen (Konsens bei der letzten Fachtagung zur funktionalen Sicherheit).

Inhalt

Die ISO 26262 wird aus zehn Teilen bestehen, die folgende Inhalte abdecken:

1. Vokabular
2. Management der funktionalen Sicherheit
3. Konzeptphase
4. Produktentwicklung: Systemebene
5. Produktentwicklung: Hardwareebene
6. Produktentwicklung: Softwareebene
7. Produktion, Betrieb und Außerbetriebnahme
8. Unterstützende Prozesse
9. ASIL- und sicherheitsorientierte Analysen
10. Guideline (nur informativ)

Teil 1 erklärt die Begriffe und Abkürzungen, die in der Normenreihe verwendet werden.

Teil 2 beinhaltet die geforderten Managementtätigkeiten während der unterschiedlichen Phasen des Sicherheitslebenszyklus eines Systems, welches E/E-Subsysteme beinhaltet. Des Weiteren werden die organisatorischen Voraussetzungen genannt, die erfüllt sein müssen, damit das zu entwickelnde System gemäß dem geforderten ASIL (automotive safety integrity level) entwickelt werden kann.

Teil 3 enthält Anforderungen bezüglich der Durchführung einer Gefährdungsanalyse und Risikoabschätzung (hazard analysis and risk assessment). Dazu müssen zunächst die potentiellen Gefährdungen (hazards) des Systems identifiziert werden. Dies geschieht durch Betrachtung der Fehlfunktionen des untersuchten Systems in spezifischen Fahrsituationen. Anschließend wird jede Gefährdung mit einer Sicherheitsanforderungsstufe von A bis D klassifiziert bzw. als nicht sicherheitsrelevant eingeordnet (quality management - QM). Anders als zum Beispiel in der IEC 61508 geschieht die Risikoanalyse in der ISO 26262 mittels einer festgelegten, qualitativen Methodik. Dazu muss für jede identifizierte Gefährdung einzeln die Schwere der Auswirkung (severity - S), die Häufigkeit der Fahrsituation (exposure - E) und die Beherrschbarkeit der Fehlfunktion in der jeweiligen Fahrsituation z. B. durch den Fahrer (controllability - C) abgeschätzt werden. Aus einer vorgegebenen Tabelle lässt sich dann für jede Gefährdung die Einstufung QM oder ASIL A bis D ablesen.

Mit steigendem ASIL steigen auch die Anforderungen an die Sicherheit, die in den nachfolgenden Teilen spezifiziert sind. An Gefährdungen der Klasse QM sind keine Anforderungen gestellt, die über das übliche Qualitätsmanagement des Systemherstellers hinausgehen, und ihre Beherrschung kann deshalb durch eine erfolgreiche Umsetzung einer Qualitätsmanagementnorm, wie zum Beispiel der ISO 9001 oder der ISO/TS 16949 nachgewiesen werden.

Die Teile 4, 5 und 6 behandeln die Entwicklungsprozesse auf Systemebene, Hardwareebene und Softwareebene anhand geschachtelter V-Modelle und definieren für die einzelnen Abschnitte Vorgehensweisen und Arbeitsergebnisse. Für die umzusetzenden Anforderungen werden Methoden aufgelistet, die je nach ASIL als optional, recommended (empfohlen) oder highly recommended (dringend empfohlen) eingestuft werden. Es können jedoch auch andere, nicht genannte Methoden verwendet werden, wenn deren Wirksamkeit zur Erfüllung der jeweiligen Anforderung begründet werden kann.

Teil 7 beinhaltet das prinzipielle Vorgehen beim Erstellen eines Produktions- und Installationsplans für sicherheitsrelevante Systeme, um die Anforderungen an die funktionale Sicherheit beim Produktions- und Installationsprozess sicherzustellen, sowie die Anforderungen, die den Betrieb, die Wartung, die Reparatur und die Stilllegung unter der Einhaltung aller Sicherheitsaspekte gewährleisten.

Teil 8 beinhaltet sowohl die Beschreibung und Zuordnung von Verantwortlichkeiten innerhalb einer verteilten Entwicklungsumgebung, als auch der richtigen Spezifikation der Anforderungen an den gesamten Sicherheitslebenszyklus. Des Weiteren werden das Konfigurations- und Änderungsmanagement sowie das richtige Durchführen von Verifikationen und Dokumentationen erläutert. Dieser Teil der Norm beinhaltet ebenfalls jeweils einen Abschnitt zur Reduzierung von Risiken, die von Softwarewerkzeugen und Software- sowie Hardwarekomponenten herrühren. Darunter fallen beispielsweise Risiken, die durch Fehler im verwendeten Compiler entstehen.

Teil 9 beinhaltet die Regeln der ASIL-Dekomposition und der Kritikalitätsanalyse. Weiterhin enthält Teil 9 einen Abschnitt, der die Durchführung von Analysen abhängiger Ausfälle erläutert, um Common Cause Fehler oder kaskadierende Fehler zu identifizieren, sowie einen Abschnitt, der die unterschiedlichen Analyseverfahren zum Erkennen von sicherheitskritischen Fehlern und Ausfällen innerhalb eines E/E-Systems aufzeigt.

Teil 10 beinhaltet Anwendungsbeispiele, Erläuterungen und weiterführende Information zu einigen Bereichen des Standards.

Einzelnachweise

1. ↑ www.iso.org

Weblinks

• Überblicksartikel zur ISO 26262 auf elektronikpraxis.de