Funktionale Sicherheit in der Fahrzeugelektronik

Transcription

SIT - Safety in Transportsystemen
6. Workshop zu Fragen von Risiko und Sicherheit im Verkehr
6. November 2013
TU-Braunschweig
ISO 26262 – Funktionale Sicherheit in der Fahrzeugelektronik
Dr.-Ing. Thomas Scharnhorst
WiTech-Engineering GmbH, Braunschweig
Gliederung
Motivation
Normen im Überblick
Kurzüberblick ISO 26262: Inhalte der 10 Teilbände
Management der funktionalen Sicherheit
Verantwortlichkeiten bei einer verteilten Entwicklungsumgebung
Dekomposition der Sicherheitsanforderungen
Systemkomplexität
Funktionswachstum über der Zeit
Komplexitätsgründe:
− Anzahl und Komplextät der Funktionen
− Interaktionen zwischen den Systemen
− Viele Innovationen sind sicherheitsrelevant oder haben
eine Connectivity zur Außenwelt
Electronic fuel injection
Cruise control
1975
Gearbox control
Traction control
Anti lock brakes
Cruise control
1985
Airbags
Electronic stability control
Active body control
Adaptive gearbox control
Adaptive cruise control
Emergency call
Gearbox control
Traction control
Anti lock brakes
Cruise control
1995
Tele-diagnostics
Internet browser
Apps
Car-2-car communication
Road trains
Software updates
Adaptive headlights
Active steering
Curve warning
Stop and Go
Lane keeping assistance
Automated parking
Collision mitigation
Hybrid powertrain
Airbags
Electronic stability control
Active body control
Adaptive gearbox control
Adaptive cruise control
Emergency call
Gearbox control
Traction control
Anti lock brakes
Cruise control
2005
2015
Motivation
Elektronikanteil im Fahrzeug steigt ständig
Quelle: VW, Euroforum 2008
Für das Jahr 2030 wird der Wertanteil der Elektronik am Automobil auf
40% geschätzt. Herausforderungen bestehen darin, daß EE-Systeme
und Mechatronik-Systeme nicht Auslöser von Systemproblemen oder
Rückrufaktionen werden.
Vernetzte Steuergeräteanzahl steigt ständig
Quelle:VW, Euroforum 2008
Qualität, Zuverläßlichkeit und Wartbarkeit, Safety und Security sind die
entscheidenden Themen, die Elektronikinnovationen zum Erfolg führen
Bausteine einer sicherheitsgerichteten Entwicklung
erster Überblick
Funktionale Sicherheit: Neue Norm ISO 26262
Zwiespalt der Industrie bei neuen Anforderungen:
o
Neue Anforderungen für den Entwicklungsprozess führen zu neuen
Belastungen/Aufwänden:
Welchen Benefit hat der Kunde davon?
o
Stand der Technik wird neu gefasst, und technische Folgen müssen
rechtlich neu bewertet werden
Wie gehen wir mit „Altlasten“ um?
Nun ist der Standard ISO 26262 seit Dez. 2011 gültig, Fragen:
Was ist zu tun für eine wirtschaftlich sinnvolle Umsetzung?
Was ist zu tun, um Haftungsrisiken einzudämmen?
Leidet durch Sicherheitsmaßnahmen die Verfügbarkeit?
Wie kann ich den Sicherheitsnachweis effektiv führen?
Gliederung
Motivation
Standards and Regulations: Überblick
Quality Standards
• ISO 9000ff / ISO TS 16949
• VDA Band 3.1 and 4.ff
• DIN EN 60300-2 (Reliability Management)
• VDI 4001-10: Technical Reliability
Engineering Standards
• ISO/IEC 12207 (SW-Process)
• V-Model
Assessment Models
Specific Design Instructions, directives, law etc.
• Standardised E-Gas-Safety Concept
• Type Approval Regulations: ECE R13(H) Annex 18(8), ECE R79 Annex 6
• FMVSS etc., Vienna convention
• IEC 15504 (SPICE)
• CMM(I)
Safety Standards
• IEC 61508 (Meta-Standard)
• ISO TR 15497: MISRA Guidelines
• ECSS-E-40A (EU, Space)
• RTCA DO-178B (Aerospace SW, V&V)
• SAE APR 7461 (Aerospace, HW)
• NASA-GB-1740.13-96 (SW-Guidebook)
• Def Stan 00-55 (Military)
• IEC 60880 (SW in Nuclear Power Plants)
IEC 61508 Derivates
• EN 5012x (Railway)
• IEC 60601 1-4 (Medical)
• IEC 61513 (Nuclear)
• IEC 61511 (Process Industry)
• IEC 62061 (Machinery)
• ISO 26262 (Automotive)
Based on publication from WG 16
ISO 26262: Einführungsszenario
Legende:
WD: Working Draft
CD: Committee Draft for Voting
FDIS: Final Draft International Standard
NWIP: New Work Item Proposal
DIS: Draft International Standard
IS:
International Standard
Gliederung
Motivation
Funktionale Sicherheit
(nach ISO 26262)
Functional Safety: Absence of unreasonable risk due to hazards caused by
malfunctioning behaviour of E/E systems
Das Risiko wird reduziert durch die Verringerung der Wahrscheinlichkeit
mit der ein Fehler auftritt und durch die Begrenzung der Konsequenzen
von unvermeidbaren Fehlern.
Risk
Systematic Failures
Measures:
− Systematic testing
− Reviews
− Diverse programming
−…
Random HW Failures
Measures:
− Redundancy
− HW self tests
− Diagnostics
−…
ISO 26262: Road Vehicles - Functional Safety
Die ISO 26262 ist eine Anpassung der Norm IEC 61508 an die speziellen
Anforderungen für die Anwendungen der E/E-Systeme in Straßenfahrzeugen
Part 1:
Vokabular, es enthält die Begriffe
Part 2:
Management der funktionalen Sicherheit – es enthält die Vorgaben
für die Arbeit des Managements
Part 3:
Konzeptphase
Part 4:
Produktentwicklung Systemebene – es enthält die Vorgaben
an das E/E-System, HW und SW
Part 5:
Produktentwicklung auf Hardware-Ebene
Part 6:
Produktentwicklung auf Software-Ebene
Part 7:
Produktion und Betrieb
Part 8:
Unterstützende Prozesse
Part 9:
ASIL orientierte Sicherheitsanalysen für die Risikoeinstufung
Part 10: Leitfaden – ist informativ für die praktische Anwendung wegen der
übergeordneten Gesichtspunkte
ISO 26262: Agenda Road Vehicles - Functional Safety
ISO 26262: Road Vehicles - Functional Safety
Bietet einen Sicherheitslebenszyklus für Automobilentwicklung :
Prozessmanagement, Entwicklung, Produktion, Betrieb, Service,
Ausserbetriebnahme und Deinstallation sowohl des gefahrverursachenden
Systems als auch der sicherheitsbezogenen /risiko-mindernden Systeme und
unterstützt mit darauf zugeschnittenen Aktivitäten.
Bietet einen automobilspezifischen risikobasierten Entwurf für die Ermittlung
von Sicherheitsklassen (Automotive Safety Integrity Levels, ASILs).
Verwendet die ASILs für die Spezifizierung von Sicherheitsmaßnahmen mit
dem Ziel ein akzeptiertes Restrisiko zu unterschreiten.
Liefert Anforderungen für Validierungs- und Verifizierungsmessgrößen, um
einen ausreichenden und akzeptablen Sicherheitslevel zu gewährleisten.
Externe Zertifizierung
ISO 26262 fordert keine generelle externe Zertifizierung
Quelle: ISO26262, part 2, table 1
Wenn ein Unternehmen die geforderte Unabhängigkeit intern
darstellen kann, wäre eine externe Zertifizierung eine
„Überinterpretation“ der Normanforderungen
Einführung der ISO 26262
Gliederung
Motivation
Management der Funktionalen Sicherheit
Managementaufgaben:
- Organisationsspezifische Regeln und Prozesse für funktionale
Sicherheit.
- Benennung von Personen ,die Aktivitäten aus ISO26262 ausführen, die
über eine hinreichenden Grad an Fähigkeiten, Kompetenzen und
Qualifikation verfügen.
- Nachweis eines einsatzfähigen Qualitätsmanagementsystems, das den
Anforderungen der ISO26262 genügt.
- Aufstellen eines ganzheitlichen Projektplanes der den Safety –Case,
und das dazugehörende funktionale Sicherheits-Assessment
adressiert.
Management der funktionalen Sicherheit bei
Continental CAS
Source: Continental, L.Ross , WiTech Seminar on FS,Oct 2009
Management der funktionalen Sicherheit: Aufstellen eines
Projektplans für den gesamten Lebenszyklus des Produktes
Phase im Sicherheitszyklus
Definition der Betrachtungseinheit
Gefährdungs - und Risikoeinschätzung
Funktionales Sicherheitskonzept
Entwicklung Systemebene, Entwicklung
Hardware
Entwicklung Software
Planung von Produktion und Betrieb
Sicherheitsvalidierung
FS-Assessment
Serienfreigabe
Serienproduktion
Betrieb, Kundendienst
Gliederung
Motivation
Verantwortlichkeiten bei einer verteilten
Entwicklungsumgebung
ISO 26262
portfolio
…ist vom
OEM zu
leisten
Herausforderung: Development Interface Agreement
(ISO 26262 Chapter 8.5 )
5.4.3 Initiation and planning of distributed development
5.4.3.1 The customer and the supplier shall specify a DIA including:
a) the appointment of the customer’s and the supplier’s safety managers,
b) the joint tailoring of the safety lifecycle
c) the activities and processes to be performed by the customer and the activities and processes to
be performed by the supplier ,
d) the information and the work products to be exchanged,
e) the parties or persons responsible for the activities,
f) the communication of the target values, derived from the system level targets.
g) the supporting processes and tools, including interfaces, to assure compatibility between customer
and supplier.
5.4.3.2 If the supplier conducts the hazard analysis and risk assessment, then the hazard
analysis and risk assessment shall be provided to the customer for verification.
5.4.3.3 The party responsible for the item development shall create the functional safety concept
in accordance with ISO 26262-3. The functional safety requirements shall be agreed between the
customer and the supplier.
Development Interface Agreement
Festlegen, was der OEM von dem Lieferanten erwartet und umgekehrt.
Problemfall:
Systemlieferant stellt z.B. Anforderungen an den OEM,
Bei Ausfall des Systems wird ein Signal auf den CAN gestellt, dass der OEM
mit ASIL D anzeigen muß.
oder der OEM legt fest,
Bei Ausfall des Systems will der OEM das Signal mit QM anzeigen
Einigung im Development Interface Agreement
Entwicklungsprozeß: Integrierte
Sicherheitsschritte
!
Fallbeispiel Elektrische Lenksäulenverriegelung
Federführend: Bereich Elektrik/Elektronik (EE)
Unterstützend: Bereich Fahrwerk (EF)
Die elektrische Lenksäulenverriegelung hat einen hohen Sicherheitslevel und
benötigt ein Geschwindigkeitssignal. Nur bei v= 0 darf die Lenksäule
verriegelt werden. Das Geschwindigkeitssignal wird von EF bereitgestellt.
Die Gesamtverantwortung liegt bei EE. Der Bereich EF führt einen SubSicherheitsnachweis zu der Integrität des Geschwindigkeitssignals durch,
sodaß sich EE auf die Güte und zeitliche Folge des Geschwindigkeitssignals
verlassen kann.
Gliederung
Motivation
ASIL-Dekomposition
ASIL Dekomposition
Beispiel zur ASIL Dekomposition - 1
Lösungsbeispiele der ASIL Dekomposition
Zusatzanforderungen bei der ASIL-Dekomposition (1)
Bei der Dekomposition wird immer angegeben, von welchem ASIL aus die
Zerlegung stattgefunden hat. Dieser ursprüngliche ASIL wird in Klammern
angehängt
Siehe im Beispiel: SA1 mit ASIL A (C) und SA2 mit ASIL B (C)
Was bedeutet dieses (C) ?
•Der
ASIL in Klammern zeigt an, welche Anforderungen auf der
Integrationsebene bzw. bei den Bestätigungsmaßnahmen (siehe Band 2,
Tabelle 1) gelten.Diese müssen immer mit dem ASIL des ursprünglichen
Sicherheitsziels umgesetzt werden.
•Es
muss die ausreichende Unabhängigkeit der Architektur-Elemente
aufgezeigt werden, auf die die Sicherheitsanforderung aufgeteilt wurde.
Durchführung von Analysen (z. B. FMEA, FTA, ETA, etc.)
Anwendung ASIL Dekomposition
ASIL Dekomposition - Zusammenfassung
Funktionale Sicherheit
Status für die Norm ISO 26262
1. Die Norm ISO 26262 ist seit Dezember 2011 voll gültig, alle redaktionellen
Änderungen (Details) wurden in ISO FDIS 26262 eingearbeitet .
2. In 2011 fand noch eine finale Abstimmung statt. Hürden, z.B. für
amerikanische Unternehmen wegen strenger Auslegung der
Produkthaftung ,wurden abgebaut:
Allgemeine Risiken wurden durch fallabhängige Risiken ersetzt (z.B.
Motorrad).
Diagnose auf dem Teilsystem , früher safety goal, jetzt safety
requirement.
3. Wichtig: ISO 26262 erklärt an einem Referenzprozess was bei Gefahren
zur Risikominderung zu tun ist, mit einer für alle gleichen Sprache und
eingeengter Methodenauswahl.
4. Bei einem erprobten Anforderungsmanagement werden die SafetyAnforderungen mit aufgenommen, es gibt nur eine Handvoll neue
Ergebnisse.
Source Continental 2009

Funktionale Sicherheit in der Fahrzeugelektronik

Transcription

Similar documents

ISO 26262 Verantwortlichkeit der funktionalen Sicherheitsmanager

2010

SIL Leitfaden - VDMA Fachverband Armaturen

automotive oem traceability

7949 - Einbauanleitung

Vernetzung der Geschäftsprozesse in SAP R/3 Logistikmodulen und

EUROPAKLASSE 15/80 EU Kaufmann/Kauffrau für Spedition und

Embedded

Energiemanagement