Automotive Software Update zur ISO 26262 – Funktionale Sicherheit für Straßenfahrzeuge

Anbieter zum Thema

Schulz-Electronic GmbH

ROHM Semiconductor GmbH

ISH Ingenieursozietät GmbH

Der Artikel gibt einen groben Einblick in die Roadmap zur ISO 26262 sowie in die Themenfelder, die sich in der 2nd Edition ändern beziehungsweise neu hinzukommen.

Derzeit arbeitet die Automobilindustrie mit Hochdruck an der Überarbeitung der ISO 26262 (Funktionale Sicherheit für Straßenfahrzeuge). Im September 2016 wurde die der erste Entwurf, der "Draft International Standard" (DIS) veröffentlicht, der momentan international kommentiert wird und zur Abstimmung ansteht. Er bildet die Grundlage für die endgültige 2nd Edition der ISO 26262. Deren Veröffentlichung ist gegen März 2018 zu erwarten.

Schon jetzt ist abzusehen, dass es umfangreiche Änderungen bzw. Neuerungen geben wird – allein gemessen an den Seitenzahlen übertrifft der aktuell vorliegende Entwurf die aktuell veröffentlichte Version der ISO 26262 um mehr als 50 %.

Bildergalerie

Bildergalerie mit 8 Bildern

Aktueller Status und Roadmap

Nach Veröffentlichung der aktuellen ISO 26262 [1] beschloss das für die Erarbeitung zuständige Normungsgremium ISO TC22/SC32/WG08 den Prozess zur Überarbeitung der Norm im Januar 2015 zu starten. Durch Festlegung auf die 36-Monats-Roadmap der ISO folgt daraus als Zieltermin für die Veröffentlichung der 2nd Edition der Januar 2018, wobei durch leichte Verschiebungen in der Roadmap derzeit der März 2018 geplant ist.

In der Zeit zwischen Veröffentlichung der ISO 26262 [1] und dem Start der Aktivitäten zur 2nd Edition waren die Experten in den Normungsgremien allerdings nicht untätig. Im für Motorräder zuständigen Gremium ISO TC23/SC38 wurde unter Mitarbeit von Experten der ISO TC22/SC32/WG08 erarbeitet, wie die ISO 26262 auf Motorräder anzuwenden ist. Resultat ist der ISO/PAS 19695 [4], der seit 01.12.2015 öffentlich zur Verfügung steht. Der PAS soll als zusätzlicher Band 12 in die 2nd Edition der ISO 26262 [3] integriert und nach Veröffentlichung der 2nd Edition zurückgezogen werden.

Eine Unterarbeitsgruppe der ISO TC22/SC32/WG08 hat sich mit der Frage beschäftigt, wie die ISO 26262 auf Halbleiter anzuwenden ist. Hintergrund ist, dass die in der ISO 26262 [1] formulierten Anforderungen sich als sehr unklar und schwer umsetzbar erwiesen haben und daher Klärungsbedarf bestand. Resultat sind die beiden Bände des ISO/PAS 19451 [5], welche im Juli 2016 veröffentlicht wurden. Die Inhalte sollen in Band 5 einfließen sowie als zusätzlicher Band 11 in die 2nd Edition der ISO 26262 [3] übernommen werden. Mit Veröffentlichung der 2nd Edition soll der PAS zurückgezogen werden.

Eine weitere Unterarbeitsgruppe der ISO TC22/SC32/WG08 hat erarbeitet, wie Trucks und Busse in der ISO 26262 berücksichtigt werden können. Die Ergebnisse dieser Arbeitsgruppe wurden allerdings nicht in einem separaten Standard dokumentiert und veröffentlicht, sondern sind direkt in den Text der zukünftigen 2nd Edition der ISO 26262 [3] eingeflossen und werden im Rahmen der regulären Kommentierungs- und Abstimmungsphasen diskutiert.

Aktuell liegt der „Draft International Standard“ ISO/DIS 26262:2016 [2] als veröffentlichter Zwischenstand vor (siehe auch Bild 1). Die derzeitige Abstimmungsphase endet am 13.12.2016. Anschließend werden die eingegangenen Kommentare bewertet und eingearbeitet, so dass daraus bis Ende 2017 der „Final Draft International Standard“ (FDIS) entsteht, über den wiederum international abgestimmt wird. Bei positivem Abstimmungsergebnis wird er Anfang 2018 als finale 2nd Edition der ISO 26262 veröffentlicht werden.

Basierend auf dem aktuell veröffentlichten Entwurfsstand [2] wird die 2nd Edition aus verschiedenen Teilen (siehe Bild 2) bestehen. Neben den schon bestehenden Teilen 1 bis 10 kommen neu hinzu der informative Band 11 („Guideline on application of ISO 26262 to seminconductors“) sowie der Band 12 („Adaptation for motorcycles“).

Ohne zunächst auf die konkreten Änderungen einzugehen, gibt Bild 3 einen Eindruck vom Mengengerüst der neuen Norm.

Ausweitung des Scopes auf alle Straßenfahrzeuge

Augenfälligste Änderung in der 2nd Edition ist die Ausweitung des Scopes auf alle Straßenfahrzeuge: „ISO 26262 is intended to be applied to safety-related systems that include one or more electrical and/or electronic (E/E) systems and that are installed in series production road vehicles, excluding mopeds.“ [2].

Damit sind insbesondere die Straßenfahrzeuge im Scope der ISO 26262, die in der aktuellen Ausgabe [1] noch nicht explizit adressiert waren, auf die die ISO 26262 aber in der Vergangenheit schon angewendet wurde (z.B. Motorräder, Trucks, Busse). Die Berücksichtigung dieser Straßenfahrzeuge beschränkt sich jedoch nicht nur auf diese Erweiterung des Scopes, sondern der Umgang mit ihnen wird auch explizit im weiteren Normtext beschrieben (siehe unten).

Eine Ergänzende Bemerkung „Other dedicated application-specific safety standards exist and may complement ISO 26262 or vice versa.“ adressiert die Situation, dass es für bestimmte Applikationen bereits Standards zur funktionalen Sicherheit gibt. In diesem Fall ist es unter Umständen nicht notwendig, alle vorhandenen Normen vollständig umzusetzen, sondern sich eine sinnvolle Untermenge daraus zu definieren.

Die explizite Herausnahme der Mopeds aus dem Scope hat als Hintergrund zum einen den formalen Grund, dass das für Mopeds zuständige Normungsgremium nicht an der Erstellung der ISO 26262 beteiligt war. Zum anderen mag es der Tatsache Rechnung tragen, dass die ISO 26262 möglicherweise für Mopeds nicht oder nur schwierig anwendbar ist bzw. dass in diesem Umfeld schon andere geeignete applikationsspezifische Normen existieren.

Motorräder in der ISO 26262

Die Berücksichtigung von Motorrädern ist derzeit im ISO/PAS 19695 [4] beschrieben, dies wird als Band 12 in die 2nd Edition überführt werden (mit entsprechenden editorischen Anpassungen).

Prinzipielles Kernthema ist – neben weiteren Anpassungen unter anderem in den Bereichen „Confirmation measures“, „Vehicle integration and testing“ und „Safety validation“ – die auf der „Hazard analysis and risk assessment“ und dem MSIL (Motorcycle Safety Integrity Level) basierte Vorgehensweise:

• Durchführung einer Gefährdungsanalyse und Risikobewertung analog zu Band 3 auf Basis von S-, E-, C-Klassifikationen. Hieraus resultieren Sicherheitsziele, welche mit einem MSIL im Bereich QM, MSIL A (niedrigste MSIL-Stufe) bis MSIL D (höchste Stufe) klassifiziert sind.

• Übersetzung des MSIL in einen ASIL.

• Umsetzung der Anforderungen der übrigen Bände ISO 26262 gemäß des „übersetzen“ ASILs, sofern keine abweichenden Anforderungen in Band 12 definiert werden.

Entscheidend ist, dass hier nicht einfach eine „Reduktion des ASIL stattfindet, sondern es wird zunächst eine motorradspezifische Gefährdungsanalyse und Risikobewertung durchgeführt. Diese führt im Vergleich zu einem Personenkraftwagen prinzipiell zu einem anderen Ergebnis (andere Beherrschbarkeit oder Auswirkungsschwere). Eine Umsetzung eines mit MSIL X klassifizierten Sicherheitsziels erfolgt demnach gemäß ISO 26262 mit der PKW-Einstufung ASIL X-1.

Des Weiteren gibt es Motorradspezifische Aspekte wo [4] bzw. [2] Band 12 entsprechend dedizierte Anforderungen formuliert, die die Anforderungen der restlichen Bände explizit ersetzen.

Trucks und Busse in der ISO 26262

Für Trucks und Busse wurde kein separate Norm (ISO/PAS) erstellt, sondern die Anforderungen an die funktionale Sicherheit wurden direkt in den Normentwurf [2] eingearbeitet. Die meisten Teile der ISO 26262 [2] machen im Wesentlichen keine Unterscheidung zwischen den Trucks und Bussen (T&B) und den übrigen Straßenfahrzeugen.

In Band 1 werden T&B-spezifische Begriffe definiert, zum Beispiel base vehicle, body builder, rebuilding, etc.

In Band 3 wird darauf hingewiesen, dass bei der Gefährdungsanalyse und Risikobewertung die verschiedenen T&B-spezifischen Gegebenheiten zu berücksichtigen sind, z.B. verschiedene Fahrzeugtypen oder unterschiedliche Betriebsmodi. Im Annex B werden informativ beispielhafte Exposure-Einstufungen für verschiedene Fahrzeugtypen angegeben.

In Band 8 wird auf zwei spezielle Fragestellungen bei den T&B eingegangen. Kapitel 15 („Interfacing a base vehicle or item in an application out of scope of ISO 26262“) beschäftigt sich mit der Frage der Schnittstelle zwischen einem nach ISO 26262 entwickeltem Item (z.B. Motorsteuerung) und einem nach einem anderen Standard entwickeltem System (z.B. Betonmischer) damit ein sicheres Gesamtsystem entsteht (Bild 5).

Kapitel 16 („Integration of safety-related systems not developed according to ISO 26262“) behandelt dagegen den umgekehrten Fall, wie ein nicht nach ISO 26262 entwickeltes Teilsystem in ein ISO 26262-konformes Gesamtsystem integriert werden kann (Bild 6).

In beiden Anwendungsfällen („Interfacing“ und „Integration“) ist Voraussetzung, dass der jeweils nicht nach ISO 26262 entwickelte Anteil nach einem anderen adäquaten Safety-Standard, zum Beispiel nach der Maschinenrichtlinie, entwickelt wurde und dass ein Verständnis erzielt wird, wie die Gesamtsystemsicherheit erreicht werden kann.

Im Anwendungsfall des „Interfacing“ führt dies im Ergebnis zu einer „Manufacturing guideline“, in welcher für den Integrator die Anforderungen beschrieben sind, die er zur Sicherstellung der Gesamtsystemsicherheit zu erfüllen hat. Im Anwendungsfall der „Integration“ muss der Integrator in einem „Safety rationale“ darlegen, wie bei der Integration eines nicht nach ISO 26262 entwickelten Teilsystems die Sicherheit auf Gesamtsystemebene dargestellt wird.

(ID:44400282)