Software im Auto

ISO 26262 – Was gibt es Neues in der Funktionalen Sicherheit?

Seite: 4/4

Schnittstellen zu weiteren Disziplinen

Ein in letzter Zeit viel diskutiertes Thema ist die Automotive Security und ihr Zusammenspiel mit der Functional Safety, insbesondere da Manipulationen – sei es bewusst oder unbewusst – zu safety-kritischen Auswirkungen führen können [7]. Die Frage, die sich daher beim Start der Überarbeitung der ISO 26262 gestellt hat, war, ob neben den systematischen Fehlern und zufälligen Hardware-Fehlern auch das Feindbild der bewussten Manipulation in der ISO 26262 betrachtet werden sollte oder nicht.

Für die Betrachtung der Automotive Security wurde im Januar 2016 bei der SAE eine Guideline hierzu veröffentlicht [8], welche sich unter anderem explizit mit dem Zusammenspiel von Safety und Security beschäftigt. Darüber hinaus wurde im ISO Normungsgremium kürzlich ein Vorhaben zur Erarbeitung einer Automotive Security Norm gestartet.

Auf Grund dieser Aktivitäten bestand keine Notwendigkeit, das Thema Automotive Security in der ISO 26262 nochmal zu vertiefen. Allerdings finden wir im Band 2 des aktuellen Normentwurfs [2] eine lose Kopplung zur Security:

„The organization shall institute and maintain effective communication channels between functional safety, cybersecurity and other disciplines that are related to functional safety, if applicable.“ [2], Band 2, Kap. 5.4.2.3

Im Wesentlichen geht es also darum, organisatorische Kommunikationskanäle zu benachbarten Disziplinen zu institutionalisieren. Speziell die Schnittstelle zur Security wird im informativen Anhang F („Guidance on potential interaction of functional safety with cybersecurity“) nochmal aufgegriffen, wobei sich die hier gegebenen Hinweise auf recht allgemeinem Niveau bewegen.

Safety of the Intended Functionality (SOTIF)

Während die ISO 26262 als Feindbilder der funktionalen Sicherheit die Fehlfunktionen eines Systems adressiert, wird die Spezifikation der sicheren Sollfunktion nicht betrachtet – dies ist die Basis der funktionalen Sicherheit [6].

Dennoch stellt sich die Frage, wie die Sollfunktion zu spezifizieren bzw. zu entwickeln ist, so dass sie als hinreichend sicher angesehen werden kann. Dies wird als „Safety of the Intended Functionality“ (SOTIF) bezeichnet.

Die Betrachtung dieser Fragestellung hat man bewusst bei der Überarbeitung der ISO 26262 aus dieser ausgespart. Einerseits ist wenig sinnvoll, den Umfang der ISO 26262 durch Berücksichtigung dieses Themas weiter zu vergrößern. Andererseits besitzt das Thema SOTIF noch nicht die inhaltliche Reife, als dass man sich durch den doch recht strikten Zeitplan der ISO 26262 Einschränkungen in der Erarbeitung des Themas auferlegen lassen wollte.

Stattdessen wurde innerhalb des ISO 26262 eine SOTIF Arbeitsgruppe gebildet, die eine eigenständige Norm (ISO/PAS) hierzu vorbereitet.

Zusammenfassung

Die Überarbeitung der ISO 26262 ist in vollem Gange: Der „Draft International Standard“ [2] ist veröffentlicht und die Kommentierung läuft. Aus den konsolidierten Kommentaren entsteht nach heutigem Stand bis 03/2018 die finale Version der ISO 26262:2018 [3]. Diese wird deutlich umfangreicher werden als die aktuelle Version [1], in der viele Punkte offen bzw. unklar geblieben sind und die mit der jetzigen Überarbeitung verbessert bzw. geklärt werden. Damit wird ein weiterer Schritt nach vorne in Richtung Praktikabilität gemacht, ohne Abstriche an der Funktionalen Sicherheit an sich zu machen.

Literatur

[1] ISO 26262:2011 “Road vehicles – Functional safety”: aktuell gültige Version (1st Edition) der ISO 26262 (veröffentlicht am 15.11.2011)

[2] ISO/DIS 26262:2016 “Road vehicles – Functional safety”: derzeit in Kommentierung/Abstimmung befindlicher Entwurf der 2nd Edition der ISO 26262 (“Draft International Standard”, veröffentlicht am 22.09.2016)

[3] ISO 26262:2018 “Road vehicles – Functional safety”: 2nd Edition der ISO 26262 (Veröffentlichung geplant gegen 03/2018)

[4] ISO/PAS 19695:2015 “Motorcyles – Functional safety” (“Publicly available specification”, veröffentlicht am 01.12.2015)

[5] ISO/PAS 19451:2016 “Application of ISO 26262 to semiconductors” (“Publicly available specification”, veröffentlicht am 15.07.2016)

[6] Stefan Kriso: “Die Grenzen der ISO 26262 - Professioneller Umgang mit Lücken in der Sicherheitsnorm.” ESE-Kongress 2014, Sindelfingen

[7] Stefan Kriso: “Automotive Security im Kontext der Funktionssicherheit – Wie Safety und Security zusammenhängen”. ESE-Kongeress 2015, Sindelfingen

[8] SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, SAE 2016

* Stefan Kriso leitet bei Bosch das „Center of Competence Functional Safety“.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:44907896)