ISO 26262 – AuSwIrkungen Auf AutOmAtISIerte PrüffelderSpeziell im Automobilbereich greift die Norm ISO 26262, die je nach Gefahrenpotenzial des Systems

dessen Entwicklung und Absicherung massiv beeinflusst. Doch welche Berührungspunkte können

bei der Absicherung der sicherheitskritischen Systeme auftreten? Themen wie Nachverfolgbarkeit der

Anforderungen und Testergebnisse, gelebte Prozesse und eingesetzte Soft- und Hardware haben massiven

Einfluss auf die Entwicklungsprozesse, weiß ITK Engineering. Für ISO-konforme Systementwicklung

und Absicherung gibt es kein Patentrezept. Dieser Beitrag zeigt auf, wann die ISO 26262 relevant wird

und welche Berührungspunkte mit dem automatisierten Prüfstandsbereich auftreten können.

Entwicklung FuNKTIONAlE SIcHErHEIT

Motivation

Mit dem Inkrafttreten der ISO 26262 Ende 2011 [1] wurde ein neuer Standard zur Entwicklung sicherheitsrelevanter elektri­scher und elektronischer Systeme in Bezug auf die funktionale Sicherheit in der Automobil branche eingeführt. Doch die ISO 26262 beschränkt sich nicht nur auf die klassischen Entwicklungsanforderun­gen, sondern begleitet ersmals den gesam­ten Le benszyklus eines Produktes von der Idee bis zur Außerbetriebnahme, ❶. Ziel ist es, sowohl systematische als auch zufällige Fehler, die zur Gefahr für Leib und Leben werden können, zu vermei­den. Dabei werden weder die strikte Ein­haltung von Checklisten noch explizite technische Lösungen von der Norm gefor­dert. Vielmehr werden An forderungen bezüglich des Einsatzes von Methoden und deren Einbettung in entsprechende Entwicklungsprozesse spezifiziert, um so struk turiert zu adäquaten technischen

Lösungen zu gelangen und diese bewer­ten zu können. Solange alle Anforderun­gen erfüllt werden, können Aktivitäten nach ISO 26262 verschoben, zusammen­gefasst oder aufgeteilt werden.

In der Praxis sind mittlerweile Umgebun­gen wie „VeriStand“, „TestStand“, „Lab­View“, „NI PXI“ oder auch „CompactRio“ zur Testautomatisierung Stand der Technik. Aktuell stehen sie jedoch unter einem Wandel: Durch die stark steigende Elekt­rifizierung von Aggregaten und Komponen­ten sind verbundene Testsysteme aus Kom­ponentenprüfständen und Hardware­in­the­Loop(HiL)­Prüfständen keine Seltenheit mehr. Bei HiL­Prüfständen für den Test von Steuergeräten besteht der Anspruch, den Steuergeräte­Prüfling virtuell und effizient mittels Fahrsimulationen abzusichern, ohne das Steuergerät im Zielfahrzeug unter realen Bedingungen testen zu müssen. Auf­grund der steigenden Zahl der aktiven Prüflinge und der resultierenden Kosten­ und Zeitersparnis bei virtuellen Tests emp­

Dipl.-ing. christoph riEDlarbeitet im Bereich Funktionale

Sicherheit bei der ITK Engineering AG in Stuttgart.

AuTOr

❶ Sicherheitslebenszyklus nach ISO 26262 (vereinfachte Darstellung)

44706I2012 7. Jahrgang

fiehlt es sich, die National­Instruments­Techniken mit hohem Automationsgrad für die Ab sicherung sicherheitsrelevanter Systeme zu verwenden.

Bei der Bewertung, ob automatisierte Testsysteme für mechatronische Prüflinge

von der ISO 26262 betroffen sind, ergibt sich die Schwierigkeit, dass die ISO 26262 kein Lastenheft ist, sondern vielmehr einen Leitfadencharakter hat. Dadurch stellt sich die berechtigte Frage, wie in der Praxis die relevanten Anforderungen

aus der ISO 26262 identifiziert werden können.

Entscheidend hierbei ist, welchen Bei­trag automatisierte Prüffelder zum Sicher­heitsnachweis, dem sogenannten Safety Case leisten. In diesen fließen alle Arbeits­produkte aus dem Sicherheits­lebenszy­klus nach ISO 26262 ein. Er weist die er ­reichte funktionale Sicherheit des entwi­ckelten Systems nach und deckt sowohl technische als auch prozessuale Maßnah­men ab. Testberichte aus den Verifikati­onsphasen der Entwicklung spielen hier­bei eine wichtige Rolle. Mögliche Einsatz­bereiche automatisierter Prüffelder sind hervorgehoben, ❷.

autoMatisiErtE prüffElDEr währEnD DEr Entwicklung

Die ISO 26262 schreibt vor, alle sicher­heitsrelevanten Eigenschaften mindestens einmal zu testen – unabhängig von der Ebene, auf der sie spezifiziert und entwi­ckelt wurde. Mit automatisierten Prüfsys­temen, wie HiL­Systemen, können diese

❷ Einsatzbereiche automatisierter Prüffelder (grün) im Kontext des Entwicklungszyklus nach ISO 26262

WWW.VIEWEGTEUBNER.DE

Blindtext, blinder Text und Blind

Wolf-Heinrich Hucho

Aerodynamik der stumpfen KörperPhysikalische Grundlagen und Anwendungen in der Praxis2., vollst. überarb. u. erw. Aufl . 2012. XIV, 620 S. mit 572 Abb. u. 56 Tab. Geb. EUR 89,95ISBN 978-3-8348-1462-3Die aerodynamische Gestaltung von Fahrzeugen wie Automobile und Eisenbahnen, von Bauwerken wie weit gespannte Brücken, Türme oder Hochhäuser, ist eine äußerst vielschichtige Aufgabe. Ihre Auslegung basiert auf ingenieurmäßigen Verfahren, aber ihre Optimierung vorwiegend auf dem Prinzip von Trial & Error. Dabei erweist es sich als nützlich, das anstehende Problem auf möglichst einfache Modellfälle zurückzuführen. Das vorliegende Buch stellt die dazu erforderlichen Grundla-gen bereit und beschreibt, wie sie anzuwenden sind. Gegenüber der ersten Aufl age wurde das Buch vollkommen überarbeitet und erweitert: um die neuen Windlastnormen, die Seitenwindstabi-lität von schnellen Zügen, sowie die Wechselwirkung von Aerodynamik und Statik biegeweicher Konstruktionen. Das Kapitel über die numerischen Verfahren (CFD) wurde auf den allerneuesten Stand gebracht.

Einfach bestellen: SpringerDE-service@springer.com Telefon +49 (0)6221 / 3 45 – 4301 Än

deru

ngen

vor

beha

lten.

Erh

ältli

ch im

Buc

hhan

del o

der

beim

Ver

lag.

In

nerh

alb

Deu

tsch

land

s lie

fern

wir

vers

andk

oste

nfre

i.

Einführungsbuch, das die theoretischen Grundlagen anwendungsnah präsentiert

springer-vieweg.de

Entwicklung FuNKTIONAlE SIcHErHEIT

448

Testaufgaben zeit­ und kosteneffizient umgesetzt werden. Sobald automatisierte Prüffelder einen Beitrag zu den Arbeits­produkten nach ISO 26262 leisten, stellt die Norm gewisse Anforderungen an diese Systeme.

Generell zu berücksichtigen sind die Anforderungen an Testaktivitäten für die Steuergeräte der mechatronischen Prüf­linge, die in der Norm unter dem Über­begriff „Verification“ zusammengefasst sind. Methodiken und Prämissen, unter denen die automatisierten Prüfsysteme eingesetzt werden, sind Bestandteil des Verifikationplans. Testberichte mit dem not wendigen Informationsgehalt bilden den Verifikationsbericht. Folgende kon­krete Aktivitäten in den Entwicklungs­phasen ergeben sich abgeleitet aus den generellen und spezifischen Anforde­rungen: der Software­Verifikationsplan, der Software­Verifikationsbericht der „Objektintegrations und Testplan“ und die Integrationstestberichte.

Bisher unterschätzt wird dabei die Be ­deutung einer geeigneten Teststrategie, die durch den Verifikationsplan und die Inhalte des Objektintegrations­ und Test­plans sowie des Software­Verifikations­plans beschrieben werden. Wichtiger Bestandteil der Teststrategie ist die Ablei­tung geeigneter Testmethoden und ­tech­niken von den für das Prädikat „funktio­nal sicher“ notwendigen Systemeigen­

schaften des Prüflings, ❸. Die Teststrategie leistet damit einen wichtigen und notwen­digen Beitrag zur effizienten Dokumenta­tion eines strukturierten Safety Case. Ohne eine entsprechende Teststrategie wird es kaum möglich sein, die notwendigen Tests zu identifizieren und einen vollständigen Sicherheitsnachweis zu erbringen.

Prüfsysteme können bis zur Fahrzeug­integration dazu beitragen, die korrekte Umsetzung sicherheitsrelevanter techni­scher Maßnahmen und Konzepte nachzu­weisen beziehungsweise zu dokumentie­ren. Der Nachweis, dass Fehler in einem System jederzeit beherrschbar sind und dadurch keine Gefährdung für Verkehrs­teilnehmer und Fahrzeuginsassen aus­geht, wird im Rahmen der „Safety Valida­tion“ normalerweise durch Fahrzeugreak­tionstests erbracht. Doch auch hier können automatisierte Prüfsysteme die Effizienz steigern, da manche Fahrsituati­onen oder Fehlerkonstellati onen im realen Fahrzeug nur schwer oder nur mit einem großem Aufwand darstellbar sind. Für die­sen Einsatzzweck sind die Anforderungen an „Validation Plan“ und „Validation Report“ zu berücksichtigen.

Allgemein muss vor dem Einsatz eines Prüffelds oder Testwerkzeugs die Frage gestellt werden, ob das Hilfsmittel in der Lage ist, Teile der Teststrategie umzuset­zen. Ist dies nicht der Fall, sollte auf den Einsatz verzichtet werden, da es keinen

❸ Zusammenhang zwischen Teststrategie und Sicherheitsnachweis

Kreiselsystem mit GPS zur

Fahrdynamikmessung

GPS-synchron

einfache Bedienung

geringe Rüstzeit

geringe Datenlatenz

· Fahrdynamische

Untersuchungen

· Messung der Aufbau-

bewegung

· Fahrkomfortanalyse

· Fahrbahn- & Strecken-

vermessung

· Zentimetergenaue

Positionierung

· Validierung von

Simulationsmodellen

· Lenkroboteransteuerung

· Evaluierung von

Fahrerassistenzsystemen

GeneSysElektronik GmbH

K o m p e t e n z i n

G P S - u n d K r e i s e l -

M e s s t e c h n i k

GeneSys Elektronik GmbH

www.genesys-adma.de

77656 Offenburg · Germany

adma@genesys-offenburg.de

Tel. +49 781 / 969279-0

A D M A

44906I2012 7. Jahrgang

Beitrag zum Sicherheitsnachweis leisten kann, ❹.

Eine besondere Herausforderung ergibt sich aus der Tatsache, dass die Prüfsys­teme, sowohl die Automatisierung bezie­hungsweise Regelung des Komponenten­prüfstands als auch die HiL­Systeme, selbst aus komplexer Soft­ und Hardware bestehen. Dies kann dazu führen, dass

kritische Fehler in der zu testenden Soft­ware und der Komponente nicht erkannt werden, beispielsweise durch Auslassen von Tests, falschen Berechnungen von Test­Sollwerten in der Fahrsimulation oder der Komponentenprüfstand ist schlicht­weg nicht in der Lage, den Prüfling gemäß Vorgabe zu testen. In der Konsequenz davon muss der Einfluss des Prüfsystems

auf die funktionale Sicherheit des Prüf­lings vor der Verwendung bewertet wer­den, ④.

In diesem Kontext fordert die ISO 26262 für die Erstellung des Verifikationsplans, dass die gewählte Methodik geeignet sein muss. Das heißt, der Testbetreiber hat sicherzustellen und nachzuweisen, dass im Rahmen der durchgeführten Tests sicherheitsrelevante Fehler erkannt wer­den und das Prüfsystem selbst keine sicherheitsrelevanten Fehler im zu prüfen­den Objekt verursacht. Dies kann sowohl über prozessuale Maßnahmen als auch durch entsprechende Eignungsnachweise, ❺, der eingesetzten Prüfsysteme erfolgen. Der Fokus liegt dabei auf der Software. Als wesentlicher Bestandteil der Testauto­matisierung ermöglicht sie es, einzelne Testschritte und damit Teilaktivitäten nach ISO 26262 zu automatisieren und zusam­menzufassen. Ein typisches Beispiel dafür sind automatisierte Regressionstests. Hardwareeigenschaften von Prüffeldern werden von der ISO nicht explizit adres­siert. Für den Einsatz von Softwarewerk­zeugen während der Entwicklung stellt die Norm Anforderungen an deren Quali­fizierung in Bezug auf eine konkrete Anwendung im Entwicklungsprojekt. Wie in der Praxis die generelle Eignung und der notwendige Vertrauensgrad an die re levanten Eigenschaften der Software­werkzeuge sinnvoll nachgewiesen wer­den können, wurde innerhalb der Bran­che noch nicht abschließend diskutiert.

❹ Bewertung des Werkzeugeinsatzes

Markttrends in der Klebtechnik

MARKTÜBERSICHT

Die Hersteller von Dichtstoffen im Überblick

WÄRMEAKTIVIERBARE DISPERSIONSKLEBSTOFFE

Lange Topfzeit dank Polycarbodiimid-Vernetzer

KUNSTSTOFF-METALL-HYBRIDTECHNIK

Im Spritzguss stoff-schlüssig verbunden

7-8 2012 JG 56 • www.adhaesion.com

Induktionsthermografie in der Klebfertigung

Klebschichtfehler zerstörungsfrei aufspüren

Handbuch Klebtechnik 2012300 Seiten. Broschiert. Euro 25,90ISBN 978-3-658-00401-9

Jetzt bestellen unter www.adhaesion.com

Entwicklung FuNKTIONAlE SIcHErHEIT

450

Denkbar sind individuelle oder auch standardisierte Kombinationen von Test­prozessen, Testfällen und unter Sicher­heitsaspekten speziell entwickelte Teil­komponenten (Hard­ und/oder Software) von HiL­Systemen.

autoMatisiErtE prüffElDEr in DEr proDuktion

Anforderungen an die Produktion sicher­heitsrelevanter Systeme werden ebenfalls von der ISO 26262 adressiert. Für jedes produzierte System muss nachgewiesen und dokumentiert werden, dass die Pro­dukteigenschaft „funktional sicher“ er ­reicht wurde. Ergebnis und Dokumenta­tion bilden den Kontrollmaßnahmen­Bericht (Control Measures Report), zu dem automatisierte Prüffelder, beispiels­weise Bandendetests, einen Beitrag leisten können. Um die Belastbarkeit der Ergeb­nisse sicherzustellen, muss im sicherheits­bezogenen Teil des Produktionskontroll­plans (Production Control Plan) doku­mentiert werden, wie mithilfe der automatisierten Prüffelder die notwendi­gen Systemeigenschaften nachgewiesen werden können. Auch die Überwachung des Testequipments selbst, zum Beispiel durch regelmäßige Selbsttests, manuelle Tests, etc. ist Teil des Produktionskontroll­Plans, da sie die Wirksamkeit des einge­setzten Testequipments über der Zeit nachweisen. Analog zu Testaktivitäten während der Entwicklung muss auch hier die Eignung des eingesetzten Testsystems unter Berücksichtigung der oben vorge­stellten Fragestellungen diskutiert werden.

ZusaMMEnfassung

Mit der Veröffentlichung der ISO 26262 Ende 2011 wurden erstmals spezielle An ­forderungen an die Entwicklung von sicherheitsrelevanten elektronischen Sys­temen im Automobilbereich gestellt. Diese sind auch bei automatisierten Prüffeldern zu berücksichtigen, sofern sie in der Ent­wicklung Beiträge zu Arbeitsprodukten nach ISO 26262 leisten. Sowohl durch Einbindung in Prozesse als auch durch Nachweise der notwendigen technischen Eigenschaften ist zu gewährleisten, dass weder sicherheitskritische Fehler im zu testenden System unentdeckt bleiben noch neue Fehler entstehen können. Wie die Nachweise zu erbringen sind, ist abhängig vom jeweiligen Projektumfeld und der Einbettung in die spezifische Teststrategie.

In der Produktion sicherheitsrelevanter Systeme eingesetzte automatisierte Prüf­felder weisen nach, dass die Produkte die relevanten Eigenschaften besitzen. Des­wegen müssen sie hinsichtlich ihrer Wirk­samkeit betrachtet werden.

litEraturhinwEis[1] ISO 26262:2011(E), International Organization for Standardization, Genf

❺ Eignungsnachweis für Testsysteme

DownloaD DEs bEitrags www.ATZonline.de

rEaD thE English E-MagaZinE order your test issue now: springervieweg-service@springer.com

Mobilität erhalten ...Prüfsysteme für

Lithium-Ionen-Batterien

Innovative Standard-Testsystemezur Reproduzierbarkeit vonTemperatur, Feuchte, schnellen Temperaturwechseln,Vibration, Korrosion,Luftschadstoffen

Sicherheitskonzepte für einen risikoarmen Betrieb Ihrer Produkte

Maßgeschneiderte Zusatz-einrichtungen, zum BeispielMedientemperierung für- Lithium-Ionen-Batterien- Halbleiterelektronik- Elektromotoren

Weitere Infos, Messetermine und Symposien unter

www.voetsch.info

Produktbereich UmweltsimulationBeethovenstraße 3472336 Balingen-Frommern/Germany Telefon +49 7433 303-0 · Telefax +49 7433 303-4112info@v-it.com · www.voetsch.info06I2012 7. Jahrgang