Funktionale Sicherheit – ISO 26262

Werkzeuge und Dienstleistungen von ETAS verbessern die funktionale Sicherheit elektronischer Systeme

Um für den Straßenverkehr zugelassen zu werden, müssen Fahrzeuge nach aktuellem Stand der Technik wissenschaftlich und technologisch ausgereift sein. Zur Vermeidung von Produkthaftungsansprüchen sind geltende Industrienormen die Mindestanforderung. Alle am Markt eingeführten Produkte müssen gemäß diesen Standards entwickelt werden.

Funktionale Sicherheit erfordert:

  • Geeignetes Systemdesign: Diagnosefunktionen, redundante Auslegung etc.
  • Zuverlässige Hardware: Ausfallart- und Ausfallhäufigkeitsanalyse
  • Software ohne schwerwiegende Fehler: Softwareentwicklung gemäß neuestem Stand der Technik
  • Durchgängiges Qualitätsmanagement: Analyse, Test und Prüfung
  • Nachweisbare Einhaltung aller Sicherheitsbestimmungen: Produkt- und Prozessmaßnahmen

Um diese Anforderungen zu erfüllen bieten wir ein umfassendes Portfolio an geeigneten Werkzeugen, Engineering-Services und Experten-Consulting.

Die Herausforderung:
ISO 26262 wurde, wie andere domänenspezifische Normen, beispielsweise ISO 25119 und EN ISO 13849, von der internationalen Norm IEC 61508 über die funktionale Sicherheit elektronischer Systeme abgeleitet und ist verbindlich für Straßenfahrzeuge. Alle neuen Elektrik- und Elektroniksysteme müssen den entsprechenden Sicherheitsstandard erfüllen. Dabei spielen die Entwicklungsprozesse, Methoden und Werkzeugketten eine entscheidende Rolle. Aus diesem Grund müssen Entwicklungswerkzeuge für künftige Elektrik- und Elektroniksysteme ebenfalls ISO 26262-konform sein.

Die Lösung:
Unser Portfolio kombiniert umfassende Kompetenzen für Methoden, Prozesse, Werkzeuge und Embedded Software mit langjähriger praktischer Erfahrung in der Entwicklung sicherheitsrelevanter Systeme. All dieses Wissen unterstützt unsere Kunden bei allen Aspekten der funktionalen Sicherheit. Unser Angebot umfasst:

  • Entwicklungswerkzeuge
    ETAS bietet Werkzeuge, wie die Produktfamilien ASCET, RTA, INTECRIO, EHOOKS, LABCAR und INCA für die Entwicklung und Erprobung sicherheitsrelevanter Fahrzeugsysteme gemäß Standards wie ISO 26262. Unsere Werkzeuge unterstützen die vollständige und flexible Implementierung von AUTOSAR 4.x-Sicherheitskonzepten auf Betriebssystem- und Basissoftware-Ebene. Unsere zertifizierten Codegeneratoren sorgen für die Integrität der generierten Software.
    Unsere Funktions- und Software-Entwicklungswerkzeuge kommen erfolgreich in Motorsteuerungs-, ABS- und ESP-Projekten zur Anwendung.
  • Engineering Services
    Mit unseren Engineering-Services stehen wir Ihnen bei jeder Anforderung in der Entwicklung zur Seite. Dank der offenen Architektur, der modularen Bauweise und der Unterstützung von Industrie- und Automotive-Standards bei allen ETAS-Produkten ist eine flexible Anpassung an verschiedene Entwicklungsanforderungen und bestehende Infrastrukturen möglich.
  • RTA Consulting Services
    Mit unseren RTA Consulting Services helfen wir unseren Kunden, die funktionale Sicherheit in ihrer Serienentwicklung und ihren Prozessen sicher zu stellen. Darüber hinaus können wir die Werkzeugketten unserer Kunden mithilfe der Sicherheitshandbücher von ETAS nach ISO 26262 zertifizierbar machen.

Wir verfügen über ein weltweites Netzwerk aus Consultants mit langjähriger Erfahrung in der Serienentwicklung und in Forschungsprojekten im Bereich funktionale Sicherheit.

Was ist IEC 61508?
IEC 61508 ist ein internationaler Standard für die funktionale Sicherheit von elektrischen, elektronischen und programmierbaren elektronischen sicherheitsrelevanten Systemen. Die Systemgrenzen sind dabei so gesetzt, dass Sensoren und andere Eingabegeräte, die programmierbare Elektronik selbst sowie alle Aktoren und anderen Ausgabegeräte im System enthalten sind.

Was ist ISO 26262?
IISO 26262 ist die branchenspezifische Anpassung der IEC 61508 an sicherheitsrelevante elektrische/elektronische Systeme bestehend aus Soft- und Hardware, die in Personenkraftwagen bis zu 3,5 Tonnen Bruttogewicht eingebaut werden.

Die Norm umfasst zehn Teile, die den kompletten Lebenszyklus von sicherheitsrelevanten Systemen für Elektrik, Elektronik und Produktengineering abdecken – vom Management der funktionalen Sicherheit über Konzeption, Design und Entwicklung bis hin zu Fertigung und Betrieb. Die ISO 26262 ist damit der Stand der Technik bei Fragen der Produkthaftung.

Die Einführung von ISO 26262 wirkt sich in verschiedener Weise auf den Softwareentwicklungsprozess aus. Hier einige der wichtigsten Bereiche, die beachtet werden müssen::

  • Architekturdesign:
    • Lose Kopplung, starke Bindung
    • Halbformaler Ansatz
  • Design und Implementierung:
    • Richtlinien wie MISRA-C:2004
    • Verhinderung von Seiteneffekten bei Speicher- und Zeitverhalten
  • Softwaretest:
    • Systematisches Testkonzept
    • Hohe Abdeckung
  • Systemerprobung:
    • Fault-Injection, Robustheitstests
    • Softwaretests in Zielumgebung

Erfordern IEC 61508 und ISO 26262 den Einsatz von zertifizierten Werkzeugen?
Die Sicherheitsnormen IEC 61508 und ISO 26262 verlangen weder die Zertifizierung noch die Konformität von Entwicklungswerkzeugen gemäß den Sicherheitsstandards. Beide Normen fordern allerdings die Nachweisbarkeit, dass keines der Werkzeuge, die bei einer Systementwicklung verwendet werden, Anforderungen verletzt, welche von der SIL- oder ASIL-Sicherheitseinstufung des Systems gefordert werden.

Die Systementwicklung muss die Eignung der Werkzeugkette unter Gesichtspunkten der Sicherheitsanforderungen stichhaltig begründen und einen geeigneten Nachweis darüber führen. In einer gut abgesicherten Werkzeugkette sollen Einzelfehler von Werkzeugen nicht zu versteckten kritischen Fehlern im System führen.

Entwicklungswerkzeuge für sicherheitsrelevante Anwendungen

INTECRIO: Integrations- und Build-Werkzeug für virtuelles Prototyping
Da INTECRIO auf C-Code-Ebene integriert, können unsere Kunden beispielsweise zur Code-Nachverfolgung C-Code-Debugger und -Entwicklungsumgebungen nutzen, um Metriken, wie die Test- oder Entscheidungsabdeckung einfach zu messen. So lässt sich feststellen, ob für die Konvertierung des Funktionsmodells in C-Code weitere Testfälle erforderlich sind. Damit stellt INTECRIO die Einhaltung der Softwareentwicklungs- und Testmethoden gemäß ISO 26262 sicher.

ASCET: Simulation, Prototyping und Ausführung auf dem Target
Dank der folgenden Standardfunktionen, die aktiv die Softwareentwicklung gemäß ISO 26262 unterstützen, ist ASCET die richtige Wahl für die Entwicklung sicherheitsrelevanter Software:

  • Unterstützung von Modularität, Abstraktion und Kapselung: ASCET basiert auf einem objektorientierten Programmiermodell und generiert Code mit identisch strukturierten Modulen. Die Modelle sind eindeutig in zwei klar voneinander getrennte Abstraktionsschichten unterteilt, welche auf der oberen Ebene das Systemdesign kapseln und sie gegenüber Änderungen auf der unteren Ebene abschotten.
  • Eindeutige Definition: Implizite Annahmen über den Datenfluss und die Steuerung der Abläufe, die üblicherweise bei grafischen Modellen auftreten, werden durch den expliziten Ordnungsformalismus der Sequenznummerierung vermieden. Das Verhalten von ASCET-Modellen ist dadurch unabhängig von der Art und Weise, wie sie gezeichnet werden.
  • Echtzeitunterstützung: Einfache Integration mit Echtzeit-Betriebssystemen wie RTA-OSEK mit einer thread-sicheren Kommunikation, welche das zustandsbasierte Messagekonzept von ASCET verwendet.
  • Vermeidung von Laufzeitfehlern: Zur Absicherung gegen häufige numerische Fehler wie Division durch Null, Unterlauf, Überlauf etc. fügt ASCET automatisch Kontrollen in die Programmierung ein.
  • Erfüllung von Anforderungen an die Softwareimplementierung: Erzeugung von bis zu 100 % MISRA-C: 2004-konformem Quellcode, kein unkontrollierter Datenfluss, kontrollierte Steuerung der Abläufe, keine dynamischen Datenstrukturen, keine Verwendung von nicht initialisierten Daten.

IEC-61508- und ISO-26262-Zertifizierung für ASCET

Die Tauglichkeit („fit for purpose“) von ASCET-MD V6.1 und ASCET-SE V6.1 für den Einsatz in der Entwicklung von sicherheitsrelevanten Systemen nach IEC 61508: 2010 und ISO 26262: 2009 wurde vom TÜV Süd zertifiziert. Die Zertifizierung umfasst die Codegenerierung für alle derzeit unterstützten Mikrocontroller-Targets von Systemen in den Anforderungsklassen bis einschließlich SIL 3 für IEC 61508 und ASIL D für ISO 26262.

RTA-OS und RTA-RTE: AUTOSAR-konforme Implementierung von Sicherheitskonzepten
AUTOSAR spezifiziert eine Reihe von Konzepten auf Betriebssystemebene, welche die funktionale Sicherheit von Steuergerätesoftware gewährleisten. Wir bieten eine AUTOSAR-4.0-konforme Implementierung von Betriebssystem und Laufzeitumgebung. Für beide gilt:

  • Generierung von MISRA-konformen Quellcode
  • Unterstützung von Multicore-Konzepten und Betriebssystemanwendungen, welche die Unterteilung in sicherheits- und nicht-sicherheitsrelevante Software ermöglichen
  • Unterstützung von AUTOSAR-4.0-Konzepten für Zeit- und Speicherpartitionierung
  • Vom TÜV Süd nach ISO 26262 zertifiziert

ISOLAR-EVE: Kürzere Regelkreise mit schnellerer Entdeckung schwerwiegender Fehler
Gemäß ISO 26262 müssen Softwareintegrationstests in einer realistischen Zielumgebung erfolgen. Durch Virtualisierung der Steuergerätehardware und Nutzung der Basissoftware des späteren Steuergeräts können Softwareintegrationstests bereits zu einem frühen Zeitpunkt vorgenommen werden. Mit ISOLAR-EVE lässt sich der Quellcode eines Steuergeräts für die frühzeitige Validierung in einer virtuellen Umgebung ausführen.

EHOOKS: Umfassende Tests von sicherheitsrelevanten Steuergerätefunktionen
Gemäß ISO 26262 sind zur Prüfung von Steuergerätesoftware Tests in der Zielumgebung durchzuführen, wobei die Software gut steuerbar und beobachtbar sein muss. Mit EHOOKS bietet ETAS hierfür ein ausgereiftes Konfigurations-, Build- und Patch-Werkzeug.

EHOOKS-Funktionen zur Erprobung sicherheitsrelevanter Steuergerätesoftware:

  • Die Tests werden auf der Steuergerätehardware mit Seriensoftware durchgeführt. Der Zugriff auf das Steuergerät erfolgt über eine ETK-Schnittstelle von ETAS.
  • Direkt einstellbare Datenvariablen und Funktionen ermöglichen die zielgerichtete Erprobung wichtiger Funktionalitäten.
  • Effiziente Fault-Injection-Tests sind durch Manipulation von Variablen, Umgehung von Funktionen durch unkorrekte Implementierungen oder Simulation falscher Sensordaten möglich.
  • Die nahtlose Integration in die INCA-Umgebung sorgt für eine effiziente Steuerung und Beobachtung sowie geringen Einarbeitungsaufwand für erfahrene Mess- und Testingenieure.

Der mit EHOOKS erstellte Prototyp kommt dem finalen Steuergerät bereits sehr nahe und eignet sich daher hervorragend für die Verifizierung und Validierung gemäß ISO 26262.

LABCAR: Integrationstests für Hardware-in-the-loop-(HiL)-Systeme
Gemäß ISO 26262 müssen auf Systemebene repräsentative Fault-Injection- und Regressionstests durchgeführt werden. Dies erfordert eine sehr genaue Simulation der Systemumgebung.

LABCAR bietet eine hochpräzise, skalierbare HiL-Testumgebung mit hervorragender Signalqualität. Zu den Funktionen des Systems zählen:

  • Erprobung des echten Steuergeräts in einem Labor mit simulierter Umgebung (vollständig reproduzierbar)
  • Integration hochpräziser Streckenmodelle
  • Exakte Simulation von Fehlern an den Steuergeräte-Schnittstellen
  • Vollautomatische Regressionstests und variantenbasierte Freigabetests für Steuergeräte
  • Effektive Wiederverwendung bewährter Tests in verschiedenen Fahrzeugprojekten