:quality(80)/p7i.vogel.de/wcms/86/98/8698959986b7019dff0b12e0be72ad21/0115711244.jpeg "Mercedes-Benz hat in Mannheim Ende November den ersten eigenen Ladepark in Deutschland eröffnet. In China kooperieren die Stuttgarter bei diesem Thema vor allem aus Kostengründen mit dem Konkurrenten BMW. (Bild: MErcedes-Benz)")
:quality(80)/p7i.vogel.de/wcms/e0/a9/e0a945596f7d9c73dba88d9118863f21/0115700559.jpeg "Die Pyhton-Fußgänger-Brücke in Amsterdam. Die Stadt baut Fuß- und Radwege aus, auf fast allen Straßen der Stadt gilt ein Tempolimit von 30 km/h. (Bild: Hexashots_Olivier Groot)")
:quality(80)/p7i.vogel.de/wcms/5e/8d/5e8db206fbe0e79b5ac2cbc9eeb77b68/0115684669.jpeg "Die in einem E-Scooter getestete Natrium-Ionen-Batterie hat 60 Volt und eine Energiedichte von 160 Watt, was den Werten von handelsüblichen Lithium-Ionen-Batterien bereits recht nahe kommt. (Bild: Pro Hi-Res - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/44/fc/44fc1c613f9ad088429e3a8a9b210459/0115669348.jpeg "(Bild: EU-Kommission - Audiovisueller Dienst)")
:quality(80)/p7i.vogel.de/wcms/f5/88/f588963dde3e968a8ec71de46760a9d2/0115701900.jpeg "Beim XP-1 handelt es sich um den zweiten Elektro-Prototyp auf Basis des Threewheelers. (Bild: Morgan)")
:quality(80)/p7i.vogel.de/wcms/57/97/5797bc6596d9113b02ed7952baa7f33f/0115700165.jpeg "Der Fiat 500e wird mit Wechsel-Akkus von Ample ausgerüstet. (Bild: Fiat)")
:quality(80)/p7i.vogel.de/wcms/39/1d/391d2ae5e8cfc98f6fafb29a3e3f8f4a/0115698507.jpeg "Ausgemusterte Batterien von E-Bussen kommen in stationären Speichern zum Einsatz. (Bild: Daimler Truck)")
:quality(80)/p7i.vogel.de/wcms/a5/32/a5320ff67e6124de9a06d00123757bba/0115701231.jpeg "Husqvarna bietet mit dem Skutta nun auch einen E-Scooter mit smarter Klappfunktion. (Bild: Husqvarna)")
:quality(80)/p7i.vogel.de/wcms/64/ab/64ab791a3d7cfe8b2fa9ddb68dd076af/0115698215.jpeg "Derzeit werden 44 Lkw mit Brennstoffzellen-Antrieb vermietet. Laut Hylane sind weitere 78 Fahrzeuge geplant. (Bild: Hylane)")
:quality(80)/p7i.vogel.de/wcms/83/4c/834ca232ed6ac103982890e330398933/0115696539.jpeg "Ab 2030 dürfen in Norwegen nur noch schwere Nutzfahrzeuge mit Elektro- oder Biogas-Antrieb neu zugelassen werden. (Bild: Daimler Truck)")
:quality(80)/p7i.vogel.de/wcms/82/d5/82d5febe6d6349a066116b4ff8b4bcca/0113611650.jpeg "(Bild: Gentex GmbH)")
:quality(80)/p7i.vogel.de/wcms/23/c1/23c10419c2c2589fe446625c1dc05346/0112020816.jpeg "Carsharing ist eine von vielen Formen der sogenannten Shared Mobility. (Bild: Share Now)")
:quality(80)/p7i.vogel.de/wcms/97/71/9771cea9eadbef0f003d376a1dcf04d8/0111533317.jpeg "Ab dem Jahr 2025 will MAN einen autonom fahrenden Stadtbus auf der Linie 144 in München testen; ein Sicherheitsfahrer wird noch an Bord sein. (Bild: MAN Truck & Bus)")
:quality(80)/p7i.vogel.de/wcms/d1/54/d15400724bd2c7d61b5b48c66ee8762f/0110663756.jpeg "Die Elektrifizierung des Telekomfuhrparks hat Olga Nevska als Geschäfstführerein der Telekom Mobility Solutions schon fast abgeschlossen. Doch sie sieht bei dem Tech-Unternehmen viel Potenzial auch die Mobilitätswende in Deutschland stark zu gestalten. (Bild: Telekom/ NORBERT ITTERMANN)")
Wiederverwendung von Embedded-Software in Safety-kritischen Automotive-Systemen
Wenn es um Safety-Zertifizierung geht, können ursprünglich für andere Projekte entwickelte Standardelemente nicht so einfach in neuen Code implementiert werden. ISO 26262 spricht hierbei von „Safety Elements out of Context“ (SEooC). Wobei handelt es sich hier genau, und was gibt es bei der Implementierung solcher Elemente zu beachten?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/af/64aff2c05fb9d/ansys-logo-gold-black-lettering.png "ansys-logo-gold-black-lettering (Ansys)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/29/65290523074ab/esystems-a-katek-brand-rgb.png "esystems-a-katek-brand-rgb (eSystems MTG GmbH)")
Ein ganz entscheidender Wesenszug einer effizienten Produktentwicklung ist es, dass das Rad nicht immer wieder von Neuem erfunden werden muss. Im Bereich der Embedded-Programmierung begann dieses Konzept mit der Verwendung vertrauenswürdiger Bibliotheken, und es wurde ergänzt durch Konzepte wie die objektorientierte Programmierung und Java, die uns das Entwickeln der heutigen komplexen Systeme ermöglichen.
Safety-Normen wirken ebenfalls auf die Verwendung erprobter Softwareelemente hin, jedoch stellen sich hierbei komplexe Herausforderungen ein, denn es entstehen unweigerlich Schwachstellen, wenn man in ein Projekt Elemente einbringt, bei deren Entwicklung nicht das gleiche Maß an Stringenz angewandt wurde. Aus diesem Grund werden in den Safety-Standards Möglichkeiten spezifiziert, die Komponenten für die Verwendung in einem Safety-kritischen Projekt zu validieren.
:quality(80)/images.vogel.de/vogelonline/bdb/1512000/1512084/original.jpg "Bild 1: Das klassische V-Modell der Entwicklung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1512000/1512085/original.jpg "Bild 2: Der komplette Softwarewartungs-Lebenszyklus.")
Das Streben nach Effizienz kann jedoch auch zum Entstehen von Konzepten führen, die in Safety-kritischen Systemen einfach nicht funktionieren. COTS-Software (Commercial-off-the-shelf), also gleichsam Standardsoftware „von der Stange“, ist ein Begriff, der in zahlreichen Branchen auf vielerlei Weise verwendet wird. Auch wenn diese Bezeichnung im industriellen Safety-Bereich eine ganz bestimmte Bedeutung hat, kann er als Vorwand dafür genutzt werden, Abkürzungen zu nehmen, was in Safety-Projekten aber schlicht nicht hinnehmbar ist, denn ein System ist stets nur so sicher wie sein schwächstes Element. Der Begriff SOUP (Software of Unknown Pedigree/Provenance; dt.: Software unbekannter Herkunft) kommt im Medizintechnik-Standard IEC 62304 vor, aber es gibt gute Gründe, in einem Safety-Projekt nichts „Unbekanntes“ zu benutzen. Man kann solche Elemente noch so gründlich prüfen, aber wie will man Jahre später etwas warten, dessen Ursprünge man nicht kennt?
Bedeutung des Begriffs „Safety Element out of Context“ (SEooC)
Im Automotive-Bereich dient das in der Norm ISO 26262-10 definierte „Safety Element out of Context“ (SEooC) als Methode zur Verwendung von Komponenten, die ursprünglich nicht für das betreffende Projekt konzipiert wurden, in einem Fahrzeug.
Der Begriff SEooC ist ein wenig umständlich, aber er definiert das Problem durchaus zutreffend, denn sämtliche Softwarebibliotheken, die man in ein System integriert, wurden schließlich „außerhalb des Kontexts“ entwickelt. Sie wurden für die Umsetzung einer bestimmten Funktionalität konzipiert, ohne zu wissen, wie sie innerhalb des Zielsystems eingesetzt werden. Der Begriff „Element“ zeigt an, dass es sich hier um eine Einheit oder ein Modul mit einem ganz bestimmten Funktionalitätsbereich handelt. Das Wort „Safety“ wiederum lässt erkennen, dass das Modul im Kontext eines gewissen Umfangs an Safety-Anforderungen entwickelt wurde.
Gemäß ISO 26262-10-9 lässt sich zwischen zwei grundlegenden Arten von Software-SEooCs unterscheiden:
Das Proven-in-Use-Konzept (betriebsbewährt)
Bei Software dieser Art wird das Proven-in-Use-Argument (nebst ergänzenden Maßnahmen) genutzt, um eine COTS-Komponente nach einem bestimmten Safety-Level zu validieren. Wie dies erreicht werden kann, ist in der ISO 26262-8-14 spezifiziert, jedoch bleibt im Zusammenhang mit Software viel Interpretationsspielraum. Entscheidend ist hier das Konzept der beobachtbaren Fehler mit Aufzeichnungen aus dem Einsatz eines Produkts, sodass alle auftretenden Fehler zuverlässig aufgezeichnet und gesammelt werden können, um ein zutreffendes Bild von der Zuverlässigkeit der Software zu erhalten. Dies muss in die jeweilige Konfiguration einbezogen werden.
Die Frage, wie relevant diese Ergebnisse für das jeweilige Zielprojekt tatsächlich sind, ist allerdings alles andere als trivial, da die Konfiguration und die Einsatzumgebung eines Safety-Projekts so gut wie sicher von den Rahmenbedingungen der Testfälle abweichen, die zum Ermitteln der Zuverlässigkeit der Software verwendet wurden. Außerdem kann man nicht unbedingt darauf vertrauen, dass ein nicht nach Safety-Standards entwickeltes Softwareelement alle Fehler zuverlässig meldet.
Das ISO-26262-6-Konzept
Der standardmäßige Weg zur Entwicklung eines Softwareelements in Safety-Systemen für den Automotive-Bereich ist in Abschnitt 6 der Norm ISO 26262 (Entwicklung funktionaler Sicherheit in Straßenfahrzeugen) definiert. Es ist von der kompletten Entwicklung des Zielsystems nach dem V-Modell abgeleitet, wie es in den vorausgehenden Abschnitten der Norm definiert wurde, und stellt in sich ebenfalls ein V-Modell dar.
Da das betreffende Element außerhalb des Kontexts entwickelt und somit nicht vom Safety-Plan des Zielprojekts abgeleitet wird, sind ergänzende Maßnahmen erforderlich. Die wichtigste zusätzliche Aktion ist das Aufstellen einer Liste von Annahmen bezüglich des Betriebs des SEooC. Diese Annahmen gilt es im Zuge der Integration auf der Zielplattform zu validieren.
Branchenübergreifende Wiederverwendung
Aus praktischer Sicht ist es sinnvoll, viele eingebettete Komponenten über mehrere Branchen hinweg anzuwenden. Zum Beispiel ist ein Dateisystem zum Abspeichern von Daten oder ein Netzwerk-Stack zum Übertragen von Daten nicht branchenspezifisch. Im Idealfall können die in einem Projekt gewonnenen Vorteile auch in neuen Projekten genutzt werden – unabhängig davon, in welchem Industriezweig letztendlich der Einsatz erfolgt.
Hinsichtlich der Software sind die Safety-Anforderungen zum Entwickeln von Software in den verschiedenen Branchen weitgehend ähnlich, auch wenn abhängig vom geforderten Safety-Level ein unterschiedliches Maß an Stringenz angewandt wird. Wählt man ein gemäß ISO 26262-6 entwickeltes SEooC-Konzept, so erhält man eine solide Basis für die normübergreifende Zuordnung von Artefakten (z. B. IEC 61508 für funktionale Sicherheit in der Industrie oder IEC 62304 für Medizingeräte).
Definition des ASIL für SEooCs
In sämtlichen Safety-Normen werden Safety-Levels spezifiziert. Je gravierender die Folgewirkungen eines Ausfalls im Zielsystem sind, um so strikter sind die Maßnahmen, die für die Implementierung und Validierung der Software vorgeschrieben sind. Die Festlegung eines Automotive Safety Integrity Level (ASIL) für ein SEooC kann sich problematisch gestalten.
Am einfachsten ist es, die Entwicklung stets am höchsten ASIL (ASIL/D) auszurichten. In diesem Fall ist die Integration in beliebige Projekte ohne größere Nacharbeiten möglich, und auch die Übertragung von einer Branche zur anderen ist einfacher. Nachteilig hieran ist allerdings, dass derartige SEooCs deutlich teurer sind als solche, die nach einem niedrigeren ASIL entwickelt wurden.
Abdeckung des gesamten Softwarewartungs-Lebenszyklus
Ein entscheidender Bestandteil einer jeden Safety-Projektentwicklung ist die Fähigkeit zur Reaktion auf Probleme, die während der Entwicklung oder nach der Freigabe auftreten. Sobald ein Projekt ausgereift ist, benötigt man eine Methodik zur zuverlässigen Modifikation des Projekts beim Auftreten etwaiger Probleme.
Eine entscheidende Stärke des ISO-26262-6-Konzepts ist folgender Aspekt: Da sämtliche Standard-Artefakte mit Rückverfolgbarkeit zwischen Design, Implementierung und Test hervorgebracht wurden, lässt sich eine umfassende und exakte Auswirkungsanalyse durchführen, und die daraus resultierenden Änderungen lassen sich präzise ausführen und außerdem so vornehmen, dass die künftige Wartbarkeit sichergestellt ist. Je weiter man nach der Projektfreigabe voranschreitet (in Bezug auf Zeit und Personal), umso entscheidender ist es, über die Artefakte mitsamt den zugehörigen Prozessen zu verfügen, damit die Änderungen auf sichere Weise vorgenommen werden können.
Wie lassen sich SEooCs beziehen?
SEooCs können in Safety-Systemen als eingebettete Komponenten dienen und die Kosten senken. Das Design eingebetteter Komponenten für die Wiederverwendung in einem Safety-Kontext ist allerdings zwangsläufig komplex, sodass der Bezug dieser Komponenten mit Bedacht erfolgen muss. Im Interesse optimaler Ergebnisse muss die Entwicklung in einer Umgebung erfolgen, die auf die Anforderungen des Lebenszyklus von Safety-Produkten abgestimmt ist.
Am besten ist es, ein vollständiges Safety-Element gemäß ISO 26262-6 zu entwickeln und die Annahmen und Testfälle für die Wiederverwendung vorzubereiten. Zusätzlich wird ein Projektmanagement-System benötigt, mit dem sich jede kundenseitige Verwendung eines SEooC in einem semi-unabhängigen Projekt pflegen lässt, damit für das betreffende Projekt der gesamte Softwarewartungs-Lebenszyklus unabhängig angewandt werden kann.
:quality(80)/images.vogel.de/vogelonline/bdb/1426100/1426183/original.jpg "Im ISO-26262-Standard fehlen noch Details zur Entwicklung von autonomen Fahrzeugen. Diese fehlende Funktionalität behandelt nun der neueste, auf den ISO 26262:2018 folgende Standard, ISO/PAS 21448, der allgemein als SOTIF (Safety of the Intended Functionality) bezeichnet wird. (Clipdealer)")
SOTIF und ISO 26262
:quality(80)/images.vogel.de/vogelonline/bdb/1388500/1388581/original.jpg "Von IEC 61508 leiten sich eine Vielzahl von Normen ab, auf deren Basis funktional sichere Systeme für zahlreiche Industrien geschaffen werden. (Microconsult)")
Funktionale Sicherheit mit IEC 61508: Systematische Fehler mit Struktur und Prozessen eindämmen
* Dave Hughes ist Gründer und CEO von HCC Embedded in Budapest.
(ID:45716231)
:quality(80)/p7i.vogel.de/wcms/c7/90/c790a131cc8bd9024400140976e17e06/0112314247.jpeg "Im Rahmen des UNICARagil-Projektes wurden gleich vier verschiedene autonome Fahrzeuge entwickelt (Bild: ika Aachen)")
:quality(80)/p7i.vogel.de/wcms/cc/33/cc33b1f65ecfc3d474500945c0f5c337/0113867320.jpeg "Für Digital Loop arbeiten viele Partner zusammen an einer Lösung für digitale Homologation. (Bild: Digital Loop)")