Am 13. Juni 2018 fand in der Münchner Konzernzentrale bei Siemens das Fachsymposium des 24. SafeTRANS Industrial Days statt, der sich den Thema branchenübergreifende Prozesse, Methode und Technologien für Safety und Security hochautomatisierter Systeme widmete. Experten aus Industrie und Wissenschaft beleuchteten in ihren Fachvorträgen jeweils unterschiedliche Aspekte derzeitiger und zukünftiger Herausforderungen im Entwicklungs- und Testprozess autonomer Embedded und Cyber-physical Systems (CPS). Im Anschluss an das Fachsymposium wurde der Arbeitskreis Prozesse, Methoden und Technologien für Safety und Security hochautomatisierter Systeme (AK PMT4S&S) gegründet, der von Martin Rothfelder (Siemens) und Dirk Geyer (AVL Software and Functions) mit Unterstützung von SafeTRANS geleitet wird.
Die Verbindung von Safety und Security bei Entwicklung und Test
Warum sollte neben Safety auch Security bereits im Entwicklungsprozess sicherheitskritischer Funktionen stärker berücksichtigt werden und wie kann das geschehen, trotz unterschiedlicher Engineering-Ansätze? Die verschiedenen Anforderungen und Sichtweisen sind letztlich zwei Seiten einer Medaille: funktionaler und gegen äußere Angriffe geschützter Funktionen in autonomen oder hochautomatisierten Systemen. Die Optimierung der Test- und Entwicklungsprozesse zukünftiger CPS stand im Mittelpunkt der Tagung, vorrangig am Beispiel der Automobilindustrie wurden konkrete Ansätze vorgestellt und diskutiert. Im Eingangsvortrag griff Dirk Geyer Sicherheitsfunktionen für Functional Safety im Automobilbau auf. Darin wurde deutlich, dass Security-Gefährdungen die funktionale Safety-Entwicklung beeinflussen und Security-Mechanismen Safety-Anforderungen erfüllen müssen. Das Verbindende und Trennende von Safety und Security verdeutlichte der Security-Fachmann Professor Hans-Joachim Hof von der TH Ingolstadt. Er hob die Bedeutung von Security für Safety hervor und welche Vor- und Nachteile unterschiedliche Security-Testmethoden in der Safety-Entwicklung haben. Auch die Experten im Publikum meldeten sich zahlreich zu Wort und das Thema wurde von Vertretern von OEMs, Zulieferern und Werkzeugherstellern sowie der Wissenschaft kontrovers diskutiert. Vor allem die Unterschiede zwischen Safety- und Security-Engineeringansätzen zeigen, dass sich beide Gebiete trotz unmittelbarer Beeinflussung derzeit schwer im gleichen Ansatz umsetzen lassen. Von den Experten wurde eine Unternehmenskultur, die beide Aspekte berücksichtigt, gefordert, indem Safety- und Security-Entwicklungsteams mit Überschneidungen arbeiten und eine einheitliche Sprache nutzen. Die Umsetzung von Safety und Security Aspekten durch das gleiche Entwicklungsteam wurde im Allgemeinen für nicht zweckdienlich erachtet. Zu verschieden sind die Ansätze, Werkzeuge und Denkweisen, die für entsprechende Nachweise genutzt werden, als das sie durch die gleichen Personen umgesetzt werden könnten. Wichtig sei aber ein gegenseitiges Verständnis der Anforderungen und ihrer Umsetzung.
SOTIF, szenarienbasiertes Testen und der AK PMT4S&S
Ein weiterer gesprächsintensiver Punkt betraf die Erweiterung eines neuen Standards SOTIF, Safety of the intended functionality, der im Bereich Testen von hochautomatisierten Systemen bestehende Standards, wie z.B. die ISO 26262, ergänzen soll. Was genau adressiert der Standard? Dr. Bert Boedekker (DENSO International Europe) referierte zum Thema und gab Auskunft zu Fragen und Anmerkungen. So wurde klar, dass die intendierte Funktion im Straßenverkehr mit autonomen Systemen viel stärker fokussiert werden muss. Es reicht nicht mehr aus, Systeme nur gegen Fehler bezüglich ihrer Spezifikation zu testen, da die Sollfunktion (Intented Function = gewünschtes Verhalten) oft gar nicht vollumfänglich formal spezifiziert werden kann. Somit stellt sich die Frage, wie die Sollfunktion zu spezifizieren bzw. zu entwickeln ist, sodass sie als hinreichend sicher angesehen werden kann. Dies wird als „Safety of the Intended Function“ (SOTIF) bezeichnet. Dass dabei die Anzal und Komplexität der zu testenden Fälle enorm ansteigt, stellt die Systementwickler und -tester vor enorme Herausforderungen. Ein Ansatz ist das szenarienbasierte Testen in virtueller Umgebung (siehe ab Seite 4), das von Dr. Hardi Hungar (DLR) vorgestellt und in der Anwendung von Dr. Tino Teige (BTC Embedded Systems) erläutert wurde.
Dass Szenarienkataloge eine Grundlage für technische Methoden und Prozesse zukünftiger CPS liefern, zeigte Dr. Jürgen Holzinger (AVL LIST), indem er die DevOps-Methodik für sicherheitskritische Systeme vorstellte. DevOps, kurz für die Verknüpfung von Development und Operations, verbindet u. a. das virtuelle Testen von hochautomatisierten Fahrfunktionen im Labor mit Ansätzen für das Lernen im Feld.
Die Gespräche und Diskussionen beim Fachsymposium machten deutlich, wie grundlegend der branchenübergreifende Austausch zwischen OEMs, Zuliefererern, Werkzeugherstellern und Forschungsinstituten ist. Die Gründung des Arbeitskreises PMT4S&S ist ein wichtiger Schritt, um die Gespräche themenfokussiert weiterzuführen. Inhalte des 24. SafeTRANS Industrial Days sowie darüber hinaus wurden bestimmt zur weiteren Bearbeitung in einem Folgetreffen.
Vom AK unabhängig wird der kommende 25. SafeTRANS Industrial Day im Herbst 2018 sattfinden.
Mehr Informationen zum 24. SafeTRANS Industrial Day unter:
www.safetrans-de.org/de/Veranstaltungen/2018/06/13/24.-safetrans-industrial-day
Auskünfte zum AK PMT4S&S auf folgender Webseite:
www.safetrans-de.org/de/Aktivitaeten/Roadmapping_AKs_2018.php