Funktionale Sicherheit – ISO 26262

Was ist IEC 61508?
IEC 61508 ist ein internationaler Standard für die funktionale Sicherheit von elektrischen, elektronischen und programmierbaren elektronischen sicherheitsrelevanten Systemen. Die Systemgrenzen sind dabei so gesetzt, dass Sensoren und andere Eingabegeräte, die programmierbare Elektronik selbst sowie alle Aktoren und anderen Ausgabegeräte im System enthalten sind.

Was ist ISO 26262?
ISO 26262 ist die branchenspezifische Anpassung der IEC 61508 an sicherheitsrelevante elektrische/elektronische Systeme bestehend aus Soft- und Hardware für Serien-Straßenfahrzeuge (Pkw, Lkw, Busse, Motorräder, jedoch keine eBikes und Mopeds sowie keine Spezialfahrzeuge, beispielsweise Krankenfahrstühle).

Die Norm umfasst zehn Teile, die den kompletten Lebenszyklus von sicherheitsrelevanten Systemen für Elektrik, Elektronik und Produktengineering abdecken – vom Management der funktionalen Sicherheit über Konzeption, Design und Entwicklung bis hin zu Fertigung und Betrieb. Die ISO 26262 ist damit der Stand der Technik bei Fragen der Produkthaftung.

Die Einführung von ISO 26262 wirkt sich in verschiedener Weise auf den Softwareentwicklungsprozess aus. Hier einige der wichtigsten Bereiche, die beachtet werden müssen:

• Architekturdesign:
  • Lose Kopplung, starke Bindung
  • Halbformaler Ansatz
• Design und Implementierung:
  • Richtlinien wie MISRA-C:2004
  • Verhinderung von Seiteneffekten bei Speicher- und Zeitverhalten
• Softwaretest:
  • Systematisches Testkonzept
  • Hohe Abdeckung
• Systemerprobung:
  • Fault-Injection, Robustheitstests
  • Softwaretests in Zielumgebung

Erfordern IEC 61508 und ISO 26262 den Einsatz von zertifizierten Werkzeugen?
Die Sicherheitsnormen IEC 61508 und ISO 26262 verlangen weder die Zertifizierung noch die Konformität von Entwicklungswerkzeugen gemäß den Sicherheitsstandards. Beide Normen fordern allerdings die Nachweisbarkeit, dass keines der Werkzeuge, die bei einer Systementwicklung verwendet werden, Anforderungen verletzt, welche von der SIL- oder ASIL-Sicherheitseinstufung des Systems gefordert werden.

Die Systementwicklung muss die Eignung der Werkzeugkette unter Gesichtspunkten der Sicherheitsanforderungen stichhaltig begründen und einen geeigneten Nachweis darüber führen. In einer gut abgesicherten Werkzeugkette sollen Einzelfehler von Werkzeugen nicht zu versteckten kritischen Fehlern im System führen.

ASCET: Simulation, Prototyping und Ausführung auf dem Target
Dank der folgenden Standardfunktionen, die aktiv die Softwareentwicklung gemäß ISO 26262 unterstützen, ist ASCET die richtige Wahl für die Entwicklung sicherheitsrelevanter Software:

• Unterstützung von Modularität, Abstraktion und Kapselung: ASCET basiert auf einem objektorientierten Programmiermodell und generiert Code mit identisch strukturierten Modulen. Die Modelle sind eindeutig in zwei klar voneinander getrennte Abstraktionsschichten unterteilt, welche auf der oberen Ebene das Systemdesign kapseln und sie gegenüber Änderungen auf der unteren Ebene abschotten.
• Eindeutige Definition: Implizite Annahmen über den Datenfluss und die Steuerung der Abläufe, die üblicherweise bei grafischen Modellen auftreten, werden durch den expliziten Ordnungsformalismus der Sequenznummerierung vermieden. Das Verhalten von ASCET-Modellen ist dadurch unabhängig von der Art und Weise, wie sie gezeichnet werden.
• Echtzeitunterstützung: Einfache Integration mit Echtzeit-Betriebssystemen wie RTA-OSEK mit einer thread-sicheren Kommunikation, welche das zustandsbasierte Messagekonzept von ASCET verwendet.
• Vermeidung von Laufzeitfehlern: Zur Absicherung gegen häufige numerische Fehler wie Division durch Null, Unterlauf, Überlauf etc. fügt ASCET automatisch Kontrollen in die Programmierung ein.
• Erfüllung von Anforderungen an die Softwareimplementierung: Erzeugung von bis zu 100 % MISRA-C: 2004-konformem Quellcode, kein unkontrollierter Datenfluss, kontrollierte Steuerung der Abläufe, keine dynamischen Datenstrukturen, keine Verwendung von nicht initialisierten Daten.

IEC-61508- und ISO-26262-Zertifizierung für ASCET

Die Tauglichkeit („fit for purpose“) von ASCET-MD V6.1 und ASCET-SE V6.1 für den Einsatz in der Entwicklung von sicherheitsrelevanten Systemen nach IEC 61508: 2010 und ISO 26262: 2009 wurde vom TÜV Süd zertifiziert. Die Zertifizierung umfasst die Codegenerierung für alle derzeit unterstützten Mikrocontroller-Targets von Systemen in den Anforderungsklassen bis einschließlich SIL 3 für IEC 61508 und ASIL D für ISO 26262.

EHOOKS: Umfassende Tests von sicherheitsrelevanten Steuergerätefunktionen
Gemäß ISO 26262 sind zur Prüfung von Steuergerätesoftware Tests in der Zielumgebung durchzuführen, wobei die Software gut steuerbar und beobachtbar sein muss. Mit EHOOKS bietet ETAS hierfür ein ausgereiftes Konfigurations-, Build- und Patch-Werkzeug.

EHOOKS-Funktionen zur Erprobung sicherheitsrelevanter Steuergerätesoftware:

• Die Tests werden auf der Steuergerätehardware mit Seriensoftware durchgeführt. Der Zugriff auf das Steuergerät erfolgt über eine ETK-Schnittstelle von ETAS.
• Direkt einstellbare Datenvariablen und Funktionen ermöglichen die zielgerichtete Erprobung wichtiger Funktionalitäten.
• Effiziente Fault-Injection-Tests sind durch Manipulation von Variablen, Umgehung von Funktionen durch unkorrekte Implementierungen oder Simulation falscher Sensordaten möglich.
• Die nahtlose Integration in die INCA-Umgebung sorgt für eine effiziente Steuerung und Beobachtung sowie geringen Einarbeitungsaufwand für erfahrene Mess- und Testingenieure.

Der mit EHOOKS erstellte Prototyp kommt dem finalen Steuergerät bereits sehr nahe und eignet sich daher hervorragend für die Verifizierung und Validierung gemäß ISO 26262.

INTECRIO: Integrations- und Build-Werkzeug für virtuelles Prototyping
Da INTECRIO auf C-Code-Ebene integriert, können unsere Kunden beispielsweise zur Code-Nachverfolgung C-Code-Debugger und -Entwicklungsumgebungen nutzen, um Metriken, wie die Test- oder Entscheidungsabdeckung einfach zu messen. So lässt sich feststellen, ob für die Konvertierung des Funktionsmodells in C-Code weitere Testfälle erforderlich sind. Damit stellt INTECRIO die Einhaltung der Softwareentwicklungs- und Testmethoden gemäß ISO 26262 sicher.

ISOLAR-EVE: Kürzere Regelkreise mit schnellerer Entdeckung schwerwiegender Fehler
Gemäß ISO 26262 müssen Softwareintegrationstests in einer realistischen Zielumgebung erfolgen. Durch Virtualisierung der Steuergerätehardware und Nutzung der Basissoftware des späteren Steuergeräts können Softwareintegrationstests bereits zu einem frühen Zeitpunkt vorgenommen werden. Mit ISOLAR-EVE lässt sich der Quellcode eines Steuergeräts für die frühzeitige Validierung in einer virtuellen Umgebung ausführen.

SCODE Workbench: Regelungssysteme modellieren, analysieren, verifizieren und implementieren

Mit Hilfe der Softwarewerkzeuge der SCODE Workbench (System CO-DEsign) können unter anderem Ingenieure, Regelungstechniker und Softwareentwickler modellzentrierte, strukturierte und klar verständliche Lösungen für Steuergerätesoftware erarbeiten, die dann automatisch verifiziert werden.

Einsatzbereich:

• Funktionszusammenhänge beschreiben und gleichzeitig automatisiert verifizieren
• Automatisiert testen

Besonderheiten:

• 100 %-Abdeckung der Funktionslogik
• Nachweis der funktionalen Übereinstimmung zwischen Modell und Ausführung auf dem Steuergerät

SCODE-ANALYZER bietet die für die Sicherheitsanalyse erforderliche Methode der Kontrollflussanalyse, die zur Verifizierung der Software-Architektur und des Entwurfs von Software-Units erforderlich ist. Das Werkzeug unterstützt die Erfüllung der relevanten ISO 26262-Anforderungen durch semi-formale Notation, semi-formale Verifikation, einfache Verständlichkeit auf Systemebene sowie gezielte Begrenzung der (Software-)Komplexität.

SCODE-CONGRA bietet die für die Sicherheitsanalyse erforderliche Methode der Datenflussanalyse, die zur Verifizierung der Software-Architektur und des Entwurfs von Software-Units erforderlich ist.