Suchen

Funktionale Sicherheit ISO 26262 in der IC-Entwicklung – Bürokratismus oder echte Hilfe?

| Autor / Redakteur: Thomas Müller * / Dipl.-Ing. (FH) Thomas Kuther

Ist die Norm ISO 26262 in der Entwicklung von Automotive-ICs nur mit bürokratischem Aufwand verbunden oder bietet sie echte Hilfestellung bei der Entwicklung sicherer Komponenten? Hier erfahren Sie mehr.

Firmen zum Thema

Chipfertigung bei ams: Ist ISO 26262 in der Entwicklung von Automotive ICs nur bürokratischer Aufwand oder Hilfe zur Entwicklung sicherer Komponenten?
Chipfertigung bei ams: Ist ISO 26262 in der Entwicklung von Automotive ICs nur bürokratischer Aufwand oder Hilfe zur Entwicklung sicherer Komponenten?
(Bild: ams)

Schon in den 1980er Jahren begannen Autohersteller, ICs für die Steuerung von Sicherheitssystemen zu verwenden. Die elektronischen Bausteine, die zunächst für Bremsen (ABS) und Airbags eingesetzt wurden, integrierten bald danach komplexe Funktionen wie z. B. Fahrstabilitätsregelung und, in jüngerer Zeit, aktive Sicherheitssysteme. Damit helfen ICs nicht nur die Folgen von Unfällen begrenzen, sondern auch zu verhindern, dass sie überhaupt erst auftreten. ICs leisten heute damit einen entscheidenden Beitrag zur Sicherheit im Straßenverkehr.

Obwohl früher formelle Industrienormen für die Entwicklung automobiler Sicherheitssysteme fehlten, funktionieren diese Systeme in Millionen von Autos mit einer bemerkenswerten Zuverlässigkeit. Dabei haben die IC-Hersteller bei der Entwicklung generell nichts anderes als eine Kombination von Ingenieurskunst und FMEA (Failure Mode and Effects Analysis, (Fehlereffektanalyse) angewendet.

Bildergalerie

Sicherheitsnormen erscheinen als bürokratische Belastung

Die Einführung von Sicherheitsnormen zur Regelung von Design und Herstellung von automotiven ICs erscheint auf den ersten Blick als eine bürokratische Belastung, die zu keiner Verbesserung eines bereits beeindruckenden Sicherheitsstandards führt, dafür aber einen zusätzlichen Zeit- und Kostenaufwand für den Produktentwicklungsprozess bedeutet. Sind diese Normen wirklich eine Hilfe für Automobilindustrie und Autofahrer?

Der erste Versuch zur Standardisierung eines Sicherheitskonzepts bei automotiven ICs wurde um die Jahrtausendwende unternommen. Idee war die bestehende Norm IEC61508 auf mikroelektronische Systeme anzuwenden. Ursprünglich handelte es sich bei der IEC 61508 um eine Sicherheitsnorm für die Anwendung in industriellen Systemen wie z. B. Eisenbahnen und Kraftwerk. Mit der Norm IEC61508 wurde die Gefährdungsanalyse eingeführt, aus der der Sicherheits-Integritätslevel (SIL) und das Konzept einer „maximalen Fehlerrate“ folgten.

Erweiterung der FMEA als effektives Werkzeug

Eine neue Methode, die als FMEDA (Failure Modes, Effects and Diagnostic Analysis (Fehlereffekt- und Diagnoseanalyse) benannte Erweiterung der FMEA, erwies sich für die Entwickler von Sicherheits-ICs als ein effektives Werkzeug. Die FMEDA verlangt eine Klassifizierung von möglichen Fehlfunktionen des ICs als entweder „sicher“ oder „unsicher“. Der/die Entwickler (in) muss einen schlüssigen Prozess zur Einschätzung der Wahrscheinlichkeit eines Auftretens für jeden Fehler implementieren und geebenenfalls diagnostische Verfahren zur Fehlererkennung verwenden.

Fehler die diagnostiziert werden können (und erlauben das System in einen sicheren Zustand zu überführen), gelten zusammen mit Fehlern die nicht sicherheitsrelevant sind als „sicher“. Fehler die das System in einen gefährlichen Zustand bringen können und nicht diagnostizierbar sind als „nicht sichere“ Fehler. Das Verhältnis von sicheren zu allen Fehlern – das Hauptergebnis der FMEDA – gibt zusammen mit der Fehlerrate an, ob ein SIL erreicht werden kann oder nicht. Dieses Verfahren ermöglichte die rein ingenieurmäßige Einschätzung, auf die sich die Entwicklungsteams zuvor allein verlassen hatten, auf eine formale und überprüfbare Basis zu stellen.

Die Norm ISO26262, die in der Mitte des ersten Jahrzehnts dieses Jahrhunderts entwickelt wurde, hat die Anwendung von Prozessen für das Sicherheitsdesign wiederum einen Schritt vorangebracht. Bis auf den Unterschied, dass sie sich speziell auf die Kfz-Elektronik und -Software konzentriert, entspricht sie in vielerlei Hinsicht der Norm IEC61508.

Alles Rund um die Norm ISO26262 finden Sie in unserem "ELEKTRONIKPRAXIS Dossier ISO26262".

Komplexere Metriken ersetzen in IEC-Norm verwendete Größen

Die in der IEC-Norm verwendeten Größen wie das Verhältnis von sicheren zu unsicheren Fehlern wurden durch komplexere Metriken ersetzt, bei denen auch latente Fehler (Fehler, die vom Auftreten von direkten oder primären Fehlern abhängen) berücksichtigt wurden. Die Spezifikationen für die Sicherheits-Integritätslevel wurden in ASIL (Automotive Sicherheits-Integritätslevel) umbenannt und die Bedingungen geringfügig geändert.

Darüber hinaus wurden neue Anforderungen für den Entwicklungsprozess eingeführt: So muss jetzt ein für die Sicherheit zuständiger Entwickler die Sicherheitsmethodik, die dem Design eines in Entwicklung befindlichen ICs zugrunde liegt, entwerfen, validieren und dokumentieren.

Wie können Entwickler mit der ISO 26262 umgehen?

Die Spezifikationen der Autohersteller für Automobil-ICs für Sicherheitsanwendungen enthalten heute in den meisten Fällen einen Verweis auf die ISO26262. Allerdings wird der ASIL häufig für das elektronische Modul (z. B. ein Gaspedal oder ein Steuergerät) definiert, in dem der IC enthalten ist, und nicht für den IC selbst. Die ISO-Norm erlaubt das „Herunterbrechen“ der ASIL auf der Systemebene (z. B. zwei redundante Systeme mit einer ASIL B-Einstufung entsprechen einem ASIL D). Die Sicherheitsziele für ein IC aus den Sicherheitsspezifikationen eines Moduls abzuleiten, bleibt jedoch nach wie vor schwierig.

Artikelfiles und Artikellinks

(ID:44913142)