:quality(80)/p7i.vogel.de/wcms/79/f2/79f21baae95e1e845b50c5366182e9ab/0111983891.jpeg "Sympathischer E-Zwerg: Fiat zeigt den neuen Topolino. (Bild: www.albertocervetti.com)")
:quality(80)/p7i.vogel.de/wcms/c3/a7/c3a7df7d07a685c121dd7607c5993761/0112007065.jpeg "Der Service „Pay-to-Park“ ermittelt, wo ein Fahrzeug geparkt wird und begleicht automatisch die Parkgebühren. (Bild: Skoda)")
:quality(80)/p7i.vogel.de/wcms/17/62/17623c8962c19acd2fa62162e7644164/0111995932.jpeg "Ende des Jahres fährt als Nummer sechs der ID.7 vor. Die Fließhecklimousine misst stolze 4,96 Meter und markiert vorläufig das Flaggschiff der Strom-Modelle. (Bild: Volkswagen AG)")
:quality(80)/p7i.vogel.de/wcms/17/16/1716c38fb15786595619227ae2714944/0112001236.jpeg "Stadtraser sollen in Berlin zusätzlich mit Lärmblitzern kontrolliert werden. (Bild: © Daimler AG)")
:quality(80)/p7i.vogel.de/wcms/d4/8d/d48db77143aec07f3d8d5f18faa40fc9/0111989913.jpeg "BMW ist Tesla auf den Fersen – allerdings mit Abstand. (Bild: BMW)")
:quality(80)/p7i.vogel.de/wcms/ae/b6/aeb65798c352e0f4e74c1aa3a8b61aea/0111991160.jpeg "Lithium-Vorkommen gibt es über die ganze Welt verstreut. Aktuell wird vor allem in Chile abgebaut. (Bild: Volkswagen AG)")
:quality(80)/p7i.vogel.de/wcms/b4/ef/b4ef2ce88d551fbb7fdfc26252b8a5b8/0112105614.jpeg "Seit Neustem gibt es ein Abo-Modell, bei dem man testen kann, ob ein Klapprad zum eigenen Mobilitätsbedarf passt. (Bild: Brompton)")
:quality(80)/p7i.vogel.de/wcms/ee/ac/eeac5a4d7110d9bf346dcd9468de3bb4/0112102700.jpeg "Der „Segway Ninebot MAX G2“ war einer von vier neuen sogenannten Kick-Scootern, die auf dem Mobile World Congress (MWC) präsentiert wurden. (Bild: Segway-Ninebot)")
:quality(80)/p7i.vogel.de/wcms/3d/50/3d50467b92b3ea6d21e89963587ef6cc/0112045763.jpeg "Künftig sollen auch Schadstoffe wie Feinstaub durch Reifenabrieb reguliert werden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/f6/98/f698b968f5b4f2587fb791e680046124/0112030443.jpeg "Ende 2022 hat Nio sein Flaggschiff „ET 7“ in Deutschland offiziell auf den Markt gebracht. (Bild: Nio)")
:quality(80)/p7i.vogel.de/wcms/97/71/9771cea9eadbef0f003d376a1dcf04d8/0111533317.jpeg "Ab dem Jahr 2025 will MAN einen autonom fahrenden Stadtbus auf der Linie 144 in München testen; ein Sicherheitsfahrer wird noch an Bord sein. (Bild: MAN Truck & Bus)")
:quality(80)/p7i.vogel.de/wcms/d1/54/d15400724bd2c7d61b5b48c66ee8762f/0110663756.jpeg "Die Elektrifizierung des Telekomfuhrparks hat Olga Nevska als Geschäfstführerein der Telekom Mobility Solutions schon fast abgeschlossen. Doch sie sieht bei dem Tech-Unternehmen viel Potenzial auch die Mobilitätswende in Deutschland stark zu gestalten. (Bild: Telekom/ NORBERT ITTERMANN)")
:quality(80)/p7i.vogel.de/wcms/53/d5/53d50ed416748ebbc269226fb1a03379/0110435405.jpeg "(Bild: iStock)")
:quality(80)/p7i.vogel.de/wcms/3b/30/3b3098792c38642c224a7f8502b42449/0110357533.jpeg "Porsche ist am konsequentesten in die Fahrradindustrie eingestiegen. Weitere Automobilhersteller und -zulieferer folgen. (Bild: Porsche)")
Functional Safety Software Engineering: Problemfälle Prozesse & Qualität
Auch fast zehn Jahre nach der Verabschiedung von ISO 26262 wird Entwickeln unter dem Aspekt Funktionaler Sicherheit als sehr aufwändig wahrgenommen. Doch für diesen wahrgenommenen Mehraufwand sind meist Defizite in Prozessen und der Softwarequalität verantwortlich.
Anbieter zum Thema
Viele Softwareentwickler und Projektleiter empfinden das Thema Funktionale Sicherheit, insbesondere die Erfüllung von Auflagen nach ISO 26262,auch zehn Jahre nach deren Einführung noch als sehr aufwändig. Entwicklungsabteilungen beklagen sich darüber, dass Functional Safety spätestens bei in ASIL-B eingestuften Anwendungen nicht nur viel Zusatzdokumentation verlangt, sondern auch viele neue Anforderungen an den Entwicklungsprozess stellte.
Natürlich hat eine Anforderung mit einer ASIL-Bewertung (Automotive Safety Integrity Level) einen großen Einfluss auf den Systementwurf, speziell die Architektur. Bestimmte Architekturmodelle müssen dokumentiert werden, Redundanzen werden notwendig, und die Auswahl von ausfallsicheren Hardwarekomponenten und robuster Softwarearchitektur beeinflussen sich gegenseitig.
:quality(80)/images.vogel.de/vogelonline/bdb/1530300/1530333/original.jpg "Bild 1: Automotive SPICE Prozessreferenzmodell – Übersicht")
![Bild 2: Übersicht über die ISO 26262 Standard-Reihe (außer Teil 12), [1]](https://cdn1.vogel.de/9AkbpZogYaZdUJiBAp5dFcIB0So=/300x300/smart/filters:format(jpg):quality(80)/images.vogel.de/vogelonline/bdb/1530300/1530334/original.jpg "Bild 2: Übersicht über die ISO 26262 Standard-Reihe (außer Teil 12), [1]")
![Tabelle 1: Abbildung von ASPICE auf ISO 26262 auf Kapitelebene, hauptsächlich aus [4]. ● = weak support, ●● = medium support, ●●● = strong support](https://cdn1.vogel.de/yOHvCo_idV_vMtXeJ2YhM62CyY4=/300x300/smart/filters:format(jpg):quality(80)/images.vogel.de/vogelonline/bdb/1530300/1530335/original.jpg "Tabelle 1: Abbildung von ASPICE auf ISO 26262 auf Kapitelebene, hauptsächlich aus [4]. ● = weak support, ●● = medium support, ●●● = strong support")
:quality(80)/images.vogel.de/vogelonline/bdb/1530300/1530337/original.jpg)
Bezogen auf die Vorgehensweise der Softwareentwicklung jedoch ist das Klagen in großen Teilen Quatsch. Bis auf einige Artefakte und Anforderungen steht in der ISO 26262 nichts Neues drin. Funktionale Sicherheit ist eben auf Systemebene „das Richtige tun“ und unter dem Qualitätsaspekt „es richtig tun“. Was die Softwareentwicklung im Kontext Funktionaler Sicherheit anders macht, ist, dass nun tatsächlich mal nachgewiesen werden muss, dass das, was sich die Entwicklungsorganisationen in ihrem Qualitätsmanagement mal lose ausgedacht haben, auch tatsächlich umgesetzt und gelebt werden muss.
Wir alle tun uns mit Funktionaler Sicherheit deutlich leichter, wenn wir endlich anfangen, Softwarequalität ernst zu nehmen und uns an Engineering-Prinzipien zu erinnern, die wir schon im Informatik- oder Ingenieurs-Studium gelernt haben.
In diesem Beitrag pflücken wir auseinander, was tatsächlich spezifische Software-/System-Prozesserfordernisse durch Funktionale Sicherheit sind, und was eigentlich durch normale Software-Qualitätsprozesse sowieso schon da sein sollte, wenn wir ernsthaft Automotive Embedded Software und Systeme entwickeln.
Für hervorragende Diskussionen, Anregungen und Verbesserungen zu diesem Beitrag danke ich Cenk Yazer, Christoph Patzelt und Steffen Kuhn.
Eine fehlerhafte Wahrnehmung
„Ach du liebe Güte, wir müssen jetzt auch ISO 26262 machen.“ „Wir sind bei unserem ISO 26262 Assessment durchgefallen, der Auditor hat uns in den meisten Punkten ordentlich rasiert.“ „Seit unsere Komponente ASIL-B eingestuft wurde, ist alles so kompliziert geworden in der Entwicklung.“ „Wir kommen schon gar nicht mehr zum Entwickeln, es ist alles nur noch Funktionale Sicherheit.“ „In zwei Monaten ist das FuSi-Assessment, wie sollen wir das nur bis dahin hinkriegen?“
So oder so ähnlich hören wir Stimmen aus automobilen Entwicklungsorganisationen. Das Muster ist immer das gleiche: „Weil wir ISO 26262 berücksichtigen müssen, haben wir Probleme“. Das Muster der Wahrnehmung ist ebenso dominant wie falsch.
Die Relevanz der ISO 26262 [1] ist nicht der Grund für ungeplante Aufwände in der Entwicklung und die Probleme der Organisation, die sich daraus ergeben. Dazu lohnt es, sich anzusehen, was Normen sind.
Im Wort „Norm“ steckt „Normal“. Eine Norm erfindet nichts, eine Norm an sich ist keine technische Innovation. Eine Norm schreibt auf, was in einem Bereich mindestens gegeben sein sollte, damit verschiedene Parteien gut zusammenwirken können, oder damit Nutzer eines Systems nicht einem unnötigen Risiko ausgesetzt sind. Eine Norm ist noch nicht einmal darauf ausgerichtet, den größtmöglichen Nutzen für die Kunden zu erzielen, sondern dient oft schlicht der Schadensabwehr.
Was eine Norm mit sich bringt, ist bisweilen die Forderung, zu dokumentieren, was man getan hat, um der Norm Genüge zu tun. Jede Norm hat darüber hinaus auch Anteile, die bestimmte Prozeduren vorsehen, die sich aus dem Anwendungsbereich der Norm ergeben. Was Entwicklungsorganisationen darauf hin zu tun haben, ist diese Dokumentation sicherzustellen, und davor die Prozeduren zu durchlaufen, die explizit gefordert werden.
Die Prozeduren sind jedoch nicht für die Norm da, sondern für den Zweck der Norm. Das ist der erste wichtige Aspekt, den es im Hinterkopf zu behalten gilt: Wir kümmern uns nicht um funktionale Sicherheit, um der ISO 26262 willens. Wir kümmern uns um funktionale Sicherheit, um die Nutzer unserer Produkte vor Schaden an Leib und Leben zu bewahren.
Die ISO 26262 ist ein Mittel, kein Zweck. Verständlicherweise ist im täglichen, praktischen Einsatz der Norm viel mehr ein anderer Gedanke präsent: Im hoffentlich nicht eintretenden Schadensfall kann durch eine akribisch befolgte Norm das Risiko von Regressforderungen begrenzt werden, da dann eben nach Stand der Technik und den Regeln der Kunst das System so entworfen wurde, so dass der Entwicklungsorganisation kein Verschulden oder keine billigende Inkaufnahme von Schäden unterstellt werden kann.
Um dies zu gewährleisten, fordert die ISO 26262 bestimmte Merkmale sowohl einer sicherheitsgerichteten Risikoanalyse mit allen daraus abgeleiteten Handlungsschritten, als auch einer qualitativ hochwertigen Software- und Elektronikentwicklung
Artikelfiles und Artikellinks
(ID:45788049)
:quality(80)/images.vogel.de/vogelonline/bdb/1939800/1939834/original.jpg "„Wir schwenken um von Hardware first auf Software first“, sagt VW-Technikvorstand Thomas Ulbrich. (Volkswagen)")
:quality(80)/images.vogel.de/vogelonline/bdb/1915100/1915196/original.jpg "Ladekarten sollen bei VW im kommenden Jahr überflüssig werden. (Volkswagen)")