Mobile-Menu

Funktionale Sicherheit

Einblicke in die Zertifizierung eines AUTOSAR-Betriebssystems nach ISO 26262

Seite: 2/3

Anbieter zum Thema

MicroConsult Academy GmbH
ISH Ingenieursozietät GmbH
Precoplat Präzisions-Leiterplatten-Technik GmbH
Elektrobit Automotive GmbH

Wie lief die Zusammenarbeit zwischen exida und EB ab?

Robert Leibinger: Die Zusammenarbeit war äußerst konstruktiv. Zunächst wurde ein gemeinsames „Vor-Assessment“ durchgeführt. Hier haben wir die Strategie für die Safety OS-Entwicklung in Hinblick auf funktionale Sicherheit sowie die Pläne und Requirements genauer betrachtet. Somit konnten wir die Anforderungen, die das Assessment an uns stellt, bereits sehr früh in unseren Entwicklungsprozess mit einbinden.

Im nächsten Schritt legten wir den technischen Umfang der Zertifizierung fest, also welche Funktionalitäten des Betriebssystems sicherheitsrelevant sind und somit auch bewertet werden müssen. Für ein sogenanntes „Safety Element out of Context“ bieten diese Funktionalitäten dann die Grundlage, auf die unsere Kunden ihre Safety-Argumentation aufbauen können. Exida konnte mit diesen Daten dann einen Assessment-Plan aufstellen, in dem Art und Umfang des Zertifizierungsprozesses definiert wurden.

Dann erst begann das eigentliche Assessment, in dessen Rahmen in regelmäßigen gemeinsamen Meetings intensiv diskutiert wurde. Auf hohem technischem Niveau wurden alle relevanten Themengebiete wie die Umsetzung der Requirements, des Designs und der Tests bis hinein in den Quellcode betrachtet. Es fand also neben der Prozessevaluation auch eine Betrachtung der Architektur und der Umsetzung der Sicherheitsaspekte des Betriebssystems statt.

Bei den Assessment Meetings waren neben unserem Assessor Herrn Faller alle an der Entwicklung des Betriebssystems beteiligten Entwicklungs-, Test- und Qualitätsingenieure sowie der Safety Manager von EB involviert. Eine große Herausforderung war dabei, aus der Fülle an Material die benötigten Informationen in der geeigneten Form aufzubereiten, um die Argumentation zu unterstützen. Die von Beginn an auf funktionale Sicherheit ausgerichtete Entwicklung des Betriebssystems war dabei äußerst hilfreich.

In einem iterativen Prozess ist dann schließlich der Assessment-Bericht entstanden, der Ende 2012 fertig war.

Betriebssysteme wie Safety OS sind die Basis für Steuergeräte, die höchste Sicherheitsstandards erfüllen müssen. Wie kann die Zertifizierung des Betriebssystems bei der Zertifizierung der Steuergeräte helfen?

Robert Leibinger: Auf Basis des Betriebssystems werden Sicherheitsmechanismen implementiert, die den höchsten Sicherheitsstandards genügen müssen. Diese Mechanismen müssen sich auf gewisse grundlegende Funktionalitäten verlassen können. Das exida-Zertifikat garantiert dem Steuergeräte-Hersteller, dass diese Funktionen entsprechend des höchsten Standards geprüft wurden.

Kommt es also beim Steuergeräte-Hersteller selbst zum Safety-Assessment, kann er beim Nachweis der Sicherheitseigenschaften des Betriebssystems nach der ISO 26262 auf das Zertifikat verweisen. Er hat also keinen weiteren Aufwand, um die Grundfunktionalität des Betriebssystems abzusichern und kann diese Nachweise aus dem Gesamt-Steuergeräte-Test ausklammern. In gewisser Weise teilen wir uns die Arbeit mit unseren Kunden, indem wir den Nachweis für die Grundfunktionalität des Systems übernehmen.

Ergänzendes zum Thema
Was steckt hinter der Norm ISO 26262

Bei der Norm ISO 26262 „Functional Safety – Road Vehicles“ handelt es sich um eine ISO-Norm zur funktionalen Sicherheit von sicherheitsrelevanten elektrischen und elektronischen Systemen in Kraftfahrzeugen. Sie definiert ein Prozess-Rahmenwerk und Vorgehensmodell sowie die geforderten Aktivitäten und Arbeitsprodukte und anzuwendenden Methoden in Entwicklung und Produktion. Sie soll die funktionale Sicherheit eines Systems mit elektrischen/elektronischen Komponenten im Kraftfahrzeug sicherstellen. Damit ist ISO 26262 eine branchenspezifische Ableitung der IEC 61508 an die spezifischen Gegebenheiten im Automobilbereich.

Die Norm bezieht sich auf Fahrzeuge bis 3500 kg zulässiger Gesamtmasse, nicht aber Prototypen oder spezielle Fahrzeuge, z.B. für Behinderte. Die Anwendung von ISO 26262 ist zwar freiwillig, in der Praxis verlangen jedoch immer mehr Automobilhersteller von ihren Zulieferern ihre Anwendung in neuen Projekten.

ISO 26262 wurde im Juli 2009 als Draft International Standard (DIS) veröffentlicht und wird von der ISO-Arbeitsgruppe „ISO TC22/SC3/WG16“ bearbeitet. Sie wurde mit Ausnahme von Teil 10 (informative Guideline) im November 2011 in Kraft gesetzt. Teil 10 wurde im August 2012 veröffentlicht. Eine deutschsprachige Version ist nicht geplant. Innerhalb von drei Jahren soll mit der ersten Überarbeitung der ISO 26262 begonnen werden, sodass mit der „Second Edition“ gegen 2017/2018 zu rechnen ist.

Rainer Faller: Die größte Hilfestellung geben die zugesicherten Sicherheitsfeatures des Safety OS. Besonders wichtig für eine zielgerichtete Entwicklung sicherheitsrelevanter Software ist der Schutz der Ausführung von nebenläufigen Software-Teilen und des logischen Partitioning sowie der gesicherte Ablauf der µC-Konfiguration beim Startup. Dies wird vom Safety OS durch das Zusammenwirken mit Hardware-Funktionen wie Memory und Hardware Resource Protection (Freedom from Interference) erreicht.

Das Safety OS ist damit das Fundament für die Umsetzung der logischen Architektur, die durch die funktionalen und technischen Sicherheitskonzepte nach ISO 26262 spezifiziert ist. Dies umfasst sowohl die Anwendungssoftware als auch die AUTOSAR-konforme Basissoftware.

Artikelfiles und Artikellinks

(ID:39452820)

Weiterführende Inhalte