AUTOMOTIVE INFOKOMVERKEHR &

UMWELT LUFTFAHRT RAUMFAHRTVERTEIDIGUNG &

SICHERHEIT

Umsetzung der ISO26262 in der PraxisDer sicherheitsgerichtete Alltag in der Automobilwelt

BICC Talk "Safety Engineering – Umsetzung der ISO26262 in der Praxis"1. Juli 2010, Garchinger Technologie- und Gründerzentrum, Garching

Dr. Henrik J. PutzerProgramm Manager "Safety & Compliance"

Automobile Funktionale Sicherheit Safety: Teil der Herausforderung 'Komplexitätsbeherrschung'

Funktionalität

Funktions-Vernetzung

Verkehrsdichte

Safety

Security

Selbstheilung

car-to-X

ältere Fahrer

Entertainment Mensch-Maschine-Schnittstelle

Fehlertoleranz

Verfügbarkeit

Fahrer-Assistenz-Systeme

Autonome Systeme

Kommunikation

© IABG 2010ISO26262 Praxis Juli 2010

GesetzeUmwelt

Ressourcen

Entw.-Standards

PlattformenMärkte Allianzen

Wiederverwendung

Time-to-Market

Qualifizierung

Personal

FahrzeugpaletteModularität

Zentralisierung

Design-Paradigmen

Antriebstechnologie

Energie

Globalisierung

QualitätSegregation

Prozesse

Bild

: © b

y B

MW

� Schlüssel: Strukturiertes Vorgehen und fortgesetztes Lernen

Steigende Funktionalität von Systemen(insbesondere Fahrerassistenz-Systeme)

Zunehmende Übernahme vonsicherheitsrelevantenRegelungsaufgaben

� Komplexität

� Verteilung, hoche Vernetzung

Automobile Funktionale SicherheitAnforderungen moderner Fahrer-Assistenz-Systeme

ACC stop&go

Stauassistent (+)

Parkassistent

PMA (+)

autonomes Fahren

Elektronische Hinterachslenkung

SBC (elektro-hydraulische Bremse)

steer-by-wirebrake-by-wire

Motor-Start-Stopp (MSA)

© IABG 2010

� Verteilung, hoche Vernetzung

Software:� CHANCE

(Differenzierung)

� RISIKO(Haftung, … )

ISO26262 Praxis Juli 2010

Tempomat

ACC

PDC

ESP (Electronic Stability Program)

ABS (Anti Blockier System)

Drosselklappe über Bowdenzug

Elektronische Drosselklappe (throttle-by-wire)

EPS (Electric Power Steering)

Servolenkung

Fahrer-Assistenzsysteme

Innovation: Fahrwerk und Antrieb

bremsenbeschleunigen

lenkenFunktionaleSicherheit

Automobile Funktionale SicherheitGestern bis heute

<2002 Vorbild: Luft- und RaumfahrtSafety 'konservativ':- Sicherheit mit jedem Aufwand

2002 Vorbild: Anlagenbau (Erscheinen der IEC 61508)

2003+ Auseinandersetzung mit FuSi-Technologie

© IABG 2010

2010 ISO/FDIS 26262 (final draft international standard)• Angepasster Lebenszyklus (Musterzulassung, Produktion, …)

• Verteilte Entwicklung

• ASIL-Skala, passende Methoden (GuR, Dekomposition, …)

• …

heute Praxis: Etablierung der ISO 26262

Safety 'automotive':- Sicherheit kostengünstig durch intelligente Konzepte (lean FuSi)

Juli 2010ISO26262 Praxis

Qualitäts-Standards• ISO 9000ff, ISO TR 16949• VDA Part 3.1 and 4.ff• DIN EN 60300-2 (Reliability Management)• VDI 4001-10: Technical Reliability

Wie ‚implementiert‘ man Funktionale Sicherheit?Normerfüllung

Branchenspezifische Entwicklungs-Vorgaben• Type Approval Regulations: ECE R13(H) Annex 18(8), ECE R79 Annex 6

Engineering Standards• ISO/IEC 12207 (SW-Process) • V-Model

Assessment Modelle• ISO 15504 (SPICE) • CMMI

© IABG 2010

Safety Standards• IEC 61508 (Meta-Standard)

• ISO TR 15497: MISRA Guidelines • ECSS-E-40A (EU, Space)• RTCA DO-178B (Aerospace SW, V&V)• SAE APR 7461 (Aerospace, HW)• NASA-GB-1740.13-96 (SW-Guidebook)• Def Stan 00-55 (Military)• IEC 60880 (SW in Nuclear Power Plants)

IEC 61508 Derivates• EN 5012x (Railway)• IEC 60601 1-4 (Medical)• IEC 61513 (Nuclear) • IEC 61511 (Process Industry)

• ISO 26262 (Automotive)

=> Anpassung an eine Branche

15.07.2010IABG IK13

© IABG 2010ISO26262 Praxis Juli 2010

Wie ‚implementiert‘ man Funktionale Sicherheit? Sicherheitslebenszyklus

UnterstützendeProzesse

QualitätAnforderungenKonfiguration

Dokumentationetc.

ManagementProzesse

PlanungQualifikation

VerantwortungRessourcen

etc.

Beschreibung der System-Funktionen,der groben Architektur und der Einsatzumgebung

Beschreibung gefahrbringender Situationen;Fehlfunktion des technischen Systems;

Risikobewertung >> ASIL

Sicherheitsfunktionen + ASILSicherheitskonzept

Systementwicklung,Verifikation & Validierung

Entwicklung

Sicherheits-Anforderungen

Gefahrenanal. &Risikobewertung

System-Definition

© IABG 2010IABG IK13 15.07.2010

{ , }Sicherheit ist eine integrale Sicherheit ist eine integrale Produkteigenschaft!Produkteigenschaft!

• Safety ist nicht hineinargumentierbar• Safety ist nicht hineintestbar

etc.etc.

Begutachtung durch unabhängige Stelle

Besondere Sicherheitsaktivitätenz.B. Sicherheitsanalysen

SafetyCase

Assessment /Zertifizierung

Entwicklung

Wie ‚implementiert‘ man Funktionale Sicherheit? Verzahnung von Funktionaler Sicherheit und Funktionsentwicklung

Prozessumsetzung geschieht zurzeitnoch mit unterschiedlichem Niveau� Aufhebung der sich daraus

ergebenden Trennung der Abläufe

Management

Funktions-Entwicklung

FunktionaleSicherheit

© IABG 2010

Designansätze werden zusammengeführt� Funktionale Sicherheit

� Top-Down und eher schwergewichtig

� Funktionsentwicklung� Bottom-Up und ergebnisorientiert

IABG IK13 15.07.2010

Automobile Funktionale SicherheitGestern bis heute

<2002 Vorbild: Luft- und RaumfahrtSafety 'konservativ':- Sicherheit mit jedem Aufwand

2002 Vorbild: Anlagenbau (Erscheinen der IEC 61508)

2003+ Auseinandersetzung mit FuSi-Technologie

© IABG 2010

2010 ISO/FDIS 26262 (final draft international standard)• Angepasster Lebenszyklus (Musterzulassung, Produktion, …)

• Verteilte Entwicklung

• ASIL-Skala, passende Methoden (GuR, Dekomposition, …)

• …

heute Praxis: Etablierung der ISO 26262

Safety 'automotive':- Sicherheit kostengünstig durch intelligente Konzepte (lean FuSi)

Juli 2010ISO26262 Praxis

Steer-by-wire Anforderung

� verteilt

� fehlertolerant

� sicherheitsgerichtet (ASIL D)

� "fail operational"

Lösung der Luftfahrt

Moderne Fahrer-Assistenz-Systeme Intelligentes Sicherheitskonzept, Beispiel: steer-by-wire

E/ETeilsystem

MechanischeRückfallebene

sichererUmschalter

© IABG 2010

� Mehrfache Redundanz (2oo3+)

� Teure Lösung, da Redundanzen in� Sensoren, Steuerungen, Aktuatoren

� Energieversorg., Kommunikation, …

Lösung Automotive

� E/E-System: fail silent (nicht-redundantes, steer-by-wire Wertschöpfung)

� Mechanische Rückfallebene: fail operational (einfache Realisierung, sicherer Notlauf)

� Gesamtsystem: fail operational (mit sicherem Umschalter)

Juli 2010ISO26262 Praxis

Mechanik ist nicht durch die ISO 26262 abgedeckt!

Automobile Funktionale Sicherheit Momentaufnahme der Fähigkeitsgrade im Markt

Einige stehen noch am Anfang

Erste Unternehmen sehr gut(in einzelnen Abteilungen)

Es gibt ausgeprägteKompetenz-Führer im Markt

Abd

ecku

ng im

Mar

ktse

gmen

t Aut

omob

il

100%

die meisten Firmendie meisten Firmen

© IABG 2010

FuSi-Umsetzung steigt

� Erste nicht-Nominierungen wegen unzureichender FuSi-Prozesse

� Erste Eskalation bei nicht-Erfüllung von FuSi-Anforderungen(Entwickler-Camps!)

� Existenzgefährdende Konsequenzen für Hersteller

Mar

ktse

gmen

t Aut

omob

il

FuSiFähigkeit

ausgesuchte Abteilungen

in ausgesuchten Firmen

ausgesuchte Abteilungen

in ausgesuchten Firmen

Juli 2010ISO26262 Praxis

Que

lle: I

AB

G

Automobile Funktionale SicherheitZusammenfassung / Ausblick

Mit der ISO26262 setzt sichdie Automobilbranche einen eigenen Standardfür die Entwicklung sicherheitsrelevanter E/E-Systeme

Steigende Anwendung und Etablierung in der gesamten Branche� Safety wird Teil des Entwicklungsalltags (Auflösung der FuSi-Parallelwelt)

� FuSi-Wissensniveau und Praxiserfahrung steigen

� Es entstehen automobilspezifische Konzepte und Lösungen

© IABG 2010

� Es entstehen automobilspezifische Konzepte und Lösungen

Zukunft: Kombination von Funktionaler Sicherheit und weiteren Attributen� Reifegrade: z.B. ISO 26262 + Automotive SPICE

� Dependability = Safety + Security

� Funktionale Sicherheit gehört in das Portfolio undRisikomanagement jeder Firma der Automobilbranche

IABG IK13 15.07.2010

Kontakt

I A B G

IndustrieanlagenBetriebsgesellschaft mbH

Einsteinstr. 20

D-85521 Ottobrunn

© IABG 2010ISO26262 Praxis

� Dr. Henrik J. Putzer, IK13Programm Manager "Safety & Compliance"putzer@iabg.de+49-89-6088-2118

D-85521 Ottobrunn

Germany

www.iabg.de

Juli 2010