Inhalte

SafeTRANS Mitglied: Model Engineering Solutions

SAFETY FIRST - Entwicklung eines Safety Cases nach ISO 26262

Bei der Dokumentation der Sicherheitsanforderungen unterstützen spezielle Software-Tools den Entwicklungsprozess.

Inhaltsverzeichnis

Die Automobilbranche entwickelt sicherheitsrelevante Systeme nach ISO 26262, dem Sicherheitsstandard für funktionale Sicherheit. Das zentrale Work Product in der Entwicklung ist der Safety Case als Nachweis, dass alles Notwendige zur Vermeidung von Sicherheitsrisiken unternommen wurde und dies auch mit Daten belegt und dokumentiert ist. Der Safety Case dokumentiert zum einen die Durchführung der mit dem entsprechenden ASIL geforderten Prozesse zur Produktentwicklung. Zum anderen belegen Produkt-basierte Argumente das akzeptierte Safety-Verhalten des Produktes und zeigen, welche Produkteigenschaften das Eintreten von sicherheitsrelevanten Risiken ausschließen.
Die Norm enthält zwar Empfehlungen zur Anwendung von Methoden, um die vorgeschriebene Sicherheitsanforderungsstufe (ASIL A-D) abzudecken, allerdings verzichtet sie auf eine praktische Anleitung. Somit stellt sich für viele Safety und Quality Manager in der Praxis die Frage, wie ein Safety Case zu entwickeln ist.

Anforderungen an einen Safety Case

Zur Entwicklung eines Safety Cases nach ISO 26262 müssen in erster Linie diese vier Anforderungen abgedeckt werden: Struktur, Transparenz, Automatisierung und Kontrolle.
Struktur des Safety Cases: Diese muss Platz für alle Informationen haben, welche die Sicherheit des finalen Produktes belegen und gleichzeitig der einzige Ablageort sein. Die Single Source-Struktur trägt zur Vollständigkeit der Dokumentation bei. Darüber hinaus sichert sie ab, dass alle Work Products, Bestätigungen, Nachweise und Validierungen komplett erfasst werden.
Transparenz: Jederzeit muss die vollständige und komplette Dokumentation der Sicherheitsnachweise verfügbar sein, damit die Entwickler das Ziel ihrer Arbeit stets vor Augen haben. Eine versehentliche Auslassung einer Absicherungsmaßnahme muss ausgeschlossen werden können.
Automatisierung: Gerade bei großen Systemen sollten nicht nur die eigentlichen Maßnahmen zur Qualitätssicherung automatisiert ablaufen. Auch das Zusammenführen der Daten aus den verschiedenen Maßnahmen zur Qualitätssicherung bedarf einer Automatisierung. Dazu gehören u.a. Nachverfolgbarkeit der Sicherheitsanforderungen, Verifizierung und Validierung, Berichte der Reviews und Work Products. Ein automatisiertes Ausführen von Qualitätssicherungsmaßnahmen und des Zusammenführens dieser Daten ist notwendig, um den Aufwand einzuschränken und die Verlässlichkeit zu erhöhen.
Steuerung und Kontrolle: Um kostspielige Nachbesserungen und Neuausrichtungen in der Produktentwicklung vorzubeugen, hilft regelmäßiges Monitoring der Qualität und des Fortschritts durch einen Abgleich des Entwicklungsstandes mit der Planung. So können Lücken erkannt und frühzeitig gegengesteuert werden. Dadurch werden hohe Kosten in der Entwicklung vermieden und die geforderten Sicherheitsnachweise für den Safety Case geliefert.

Abb.1: Erster Teil des Qualitätsmodells

Das Monitoring von Qualität und Fortschritt gibt transparente Informationen über die Ausführung der für den Safety Case benötigten Aktivitäten und deren Ergebnisse. Um es in anderen Worten zu sagen: Im Monitoring des Fortschritts wird auch sichtbar, in welchem Maß etwa eine Software-Unit validiert ist und damit ob alle Sicherheitsanforderungen implementiert wurden.

Abb.2: Ausschnitt eines Safety Cases im MES Quality Commander

Qualitätsmanagement garantieren

Für die gleichzeitige Erfassung von Qualität und Fortschritt hat das Berliner Software-Unternehmen Model Engineering Solutions GmbH (MES) eine Methode zur kontinuierlichen Messung der Produktqualität in einem Werkzeug umgesetzt. Der MES Quality Commander® stellt sicher, dass alle erfolgten Qualitätssicherungsaktivitäten erfolgt und deren Ergebnisse dokumentiert sind. Ein sogenanntes Qualitätsmodell führt Qualitätsdaten für Artefakte, Aktivitäten und Work Products zusammen. Für die Erstellung eines Safety Cases können die für die ISO 26262 geforderten Qualitätssicherungen für alle Phasen, wie etwa Software-Architekturentwicklung, Software Unit Design und Implementierung, sowie SW-Unit und Integration Test erfasst werden.
In dieser Struktur werden Qualität und Fortschritt einer Produktentwicklung automatisiert dokumentiert und dargestellt. Der Safety Manager kann alle Informationen zum Safety Case über den gesamten Entwicklungsprozess erfassen und final zu einem Safety Case zusammenstellen.
www.model-engineers.com

Shortcuts: Model Engineering Solutions

Unternehmen: Model Engineering Solutions GmbH
Sitz: Berlin
Geschäftsfelder: Produkte, Dienstleistungen und Beratung für die Qualitätssicherung modellbasierter Entwicklung

tl_files/ausgabe-2016-01/2012-09_POR.MES_web.jpg

Fragen an Dr. Heiko Dörr, Chief Executive Officer, MES:

Welcher Bereich der ISO 26262 stellt für Safety-Manager die größte Herausforderung dar?

Die EFFIZIENTE Umsetzung der Anforderungen aus der ISO 26262 ist die größte Herausforderung. Zwei Beispiele: 1) Bestehende Entwicklungsprozesse müssen so weiterentwickelt werden, dass sie die Anforderungen der ISO erfüllen. Die separate Definition eines „Safety-related“ Prozesses parallel zum eigentlichen Entwicklungsprozess führt zu unakzeptablen Doppelarbeiten. 2) Die Nachweisführung, dass ein entwickeltes Produkt alle Sicherheitsanforderungen erfüllt, ist sehr aufwendig. Daher muss die Sammlung der Nachweise automatisiert erfolgen.

Welche Vorteile haben sich durch die ISO 26262 ergeben?
Die Vereinheitlichung der Vorgehensweisen in der Entwicklung sicherheitsrelevanter Systeme erleichtert die Abstimmung zwischen Herstellern und Zulieferern. Schnittstellen zwischen Entwicklungspartnern können mit Rückgriff auf die ISO 26262 definiert werden. Zudem stellt sie als allgemein akzeptierte Beschreibung des Stands der Technik eine belastbare Referenz für die Gestaltung von Entwicklungsprozessen.

Erwarten Sie in Zukunft mit steigender Anzahl elektronischer und Software-basierter Systeme im Automobil weitere (Sicherheits-)Normen und Vorschriften im Entwicklungsprozess?
Das neue Anwendungsfeld von automatisierten Fahrerassistenzsystemen hebt sich durch zwei wesentliche Charakteristiken von herkömmlichen Anwendungen ab: lernende Verfahren optimieren die Funktionalität von Algorithmen im Feld. Zur Entwicklungszeit ist diese Funktion nicht endgültig bekannt. Die Funktion kann daher während der Entwicklung nicht vollständig abgesichert werden. Weiterhin wird ein Fahrerassistenzsys­tem sporadisch mit anderen Verkehrsteilnehmern, Infrastruktur und Backend-Systemen interagieren. Diese Einsatzszenarien sind so durch die ISO 26262 noch nicht vorhergesehen. Eine Anpassung bzw. Weiterentwicklung des Standards ist daher dann zu erwarten, wenn die Techniken zur Gewährleistung von Safety etabliert sind.