ISO 26262 – AuSwIrkungen Auf AutOmAtISIerte PrüffelderSpeziell im Automobilbereich greift die Norm ISO 26262, die je nach Gefahrenpotenzial des Systems
dessen Entwicklung und Absicherung massiv beeinflusst. Doch welche Berührungspunkte können
bei der Absicherung der sicherheitskritischen Systeme auftreten? Themen wie Nachverfolgbarkeit der
Anforderungen und Testergebnisse, gelebte Prozesse und eingesetzte Soft- und Hardware haben massiven
Einfluss auf die Entwicklungsprozesse, weiß ITK Engineering. Für ISO-konforme Systementwicklung
und Absicherung gibt es kein Patentrezept. Dieser Beitrag zeigt auf, wann die ISO 26262 relevant wird
und welche Berührungspunkte mit dem automatisierten Prüfstandsbereich auftreten können.
Entwicklung FuNKTIONAlE SIcHErHEIT
Motivation
Mit dem Inkrafttreten der ISO 26262 Ende 2011 [1] wurde ein neuer Standard zur Entwicklung sicherheitsrelevanter elektrischer und elektronischer Systeme in Bezug auf die funktionale Sicherheit in der Automobil branche eingeführt. Doch die ISO 26262 beschränkt sich nicht nur auf die klassischen Entwicklungsanforderungen, sondern begleitet ersmals den gesamten Le benszyklus eines Produktes von der Idee bis zur Außerbetriebnahme, ❶. Ziel ist es, sowohl systematische als auch zufällige Fehler, die zur Gefahr für Leib und Leben werden können, zu vermeiden. Dabei werden weder die strikte Einhaltung von Checklisten noch explizite technische Lösungen von der Norm gefordert. Vielmehr werden An forderungen bezüglich des Einsatzes von Methoden und deren Einbettung in entsprechende Entwicklungsprozesse spezifiziert, um so struk turiert zu adäquaten technischen
Lösungen zu gelangen und diese bewerten zu können. Solange alle Anforderungen erfüllt werden, können Aktivitäten nach ISO 26262 verschoben, zusammengefasst oder aufgeteilt werden.
In der Praxis sind mittlerweile Umgebungen wie „VeriStand“, „TestStand“, „LabView“, „NI PXI“ oder auch „CompactRio“ zur Testautomatisierung Stand der Technik. Aktuell stehen sie jedoch unter einem Wandel: Durch die stark steigende Elektrifizierung von Aggregaten und Komponenten sind verbundene Testsysteme aus Komponentenprüfständen und HardwareintheLoop(HiL)Prüfständen keine Seltenheit mehr. Bei HiLPrüfständen für den Test von Steuergeräten besteht der Anspruch, den SteuergerätePrüfling virtuell und effizient mittels Fahrsimulationen abzusichern, ohne das Steuergerät im Zielfahrzeug unter realen Bedingungen testen zu müssen. Aufgrund der steigenden Zahl der aktiven Prüflinge und der resultierenden Kosten und Zeitersparnis bei virtuellen Tests emp
Dipl.-ing. christoph riEDlarbeitet im Bereich Funktionale
Sicherheit bei der ITK Engineering AG in Stuttgart.
AuTOr
❶ Sicherheitslebenszyklus nach ISO 26262 (vereinfachte Darstellung)
44706I2012 7. Jahrgang
fiehlt es sich, die NationalInstrumentsTechniken mit hohem Automationsgrad für die Ab sicherung sicherheitsrelevanter Systeme zu verwenden.
Bei der Bewertung, ob automatisierte Testsysteme für mechatronische Prüflinge
von der ISO 26262 betroffen sind, ergibt sich die Schwierigkeit, dass die ISO 26262 kein Lastenheft ist, sondern vielmehr einen Leitfadencharakter hat. Dadurch stellt sich die berechtigte Frage, wie in der Praxis die relevanten Anforderungen
aus der ISO 26262 identifiziert werden können.
Entscheidend hierbei ist, welchen Beitrag automatisierte Prüffelder zum Sicherheitsnachweis, dem sogenannten Safety Case leisten. In diesen fließen alle Arbeitsprodukte aus dem Sicherheitslebenszyklus nach ISO 26262 ein. Er weist die er reichte funktionale Sicherheit des entwickelten Systems nach und deckt sowohl technische als auch prozessuale Maßnahmen ab. Testberichte aus den Verifikationsphasen der Entwicklung spielen hierbei eine wichtige Rolle. Mögliche Einsatzbereiche automatisierter Prüffelder sind hervorgehoben, ❷.
autoMatisiErtE prüffElDEr währEnD DEr Entwicklung
Die ISO 26262 schreibt vor, alle sicherheitsrelevanten Eigenschaften mindestens einmal zu testen – unabhängig von der Ebene, auf der sie spezifiziert und entwickelt wurde. Mit automatisierten Prüfsystemen, wie HiLSystemen, können diese
❷ Einsatzbereiche automatisierter Prüffelder (grün) im Kontext des Entwicklungszyklus nach ISO 26262
WWW.VIEWEGTEUBNER.DE
Blindtext, blinder Text und Blind
Wolf-Heinrich Hucho
Aerodynamik der stumpfen KörperPhysikalische Grundlagen und Anwendungen in der Praxis2., vollst. überarb. u. erw. Aufl . 2012. XIV, 620 S. mit 572 Abb. u. 56 Tab. Geb. EUR 89,95ISBN 978-3-8348-1462-3Die aerodynamische Gestaltung von Fahrzeugen wie Automobile und Eisenbahnen, von Bauwerken wie weit gespannte Brücken, Türme oder Hochhäuser, ist eine äußerst vielschichtige Aufgabe. Ihre Auslegung basiert auf ingenieurmäßigen Verfahren, aber ihre Optimierung vorwiegend auf dem Prinzip von Trial & Error. Dabei erweist es sich als nützlich, das anstehende Problem auf möglichst einfache Modellfälle zurückzuführen. Das vorliegende Buch stellt die dazu erforderlichen Grundla-gen bereit und beschreibt, wie sie anzuwenden sind. Gegenüber der ersten Aufl age wurde das Buch vollkommen überarbeitet und erweitert: um die neuen Windlastnormen, die Seitenwindstabi-lität von schnellen Zügen, sowie die Wechselwirkung von Aerodynamik und Statik biegeweicher Konstruktionen. Das Kapitel über die numerischen Verfahren (CFD) wurde auf den allerneuesten Stand gebracht.
Einfach bestellen: [email protected] Telefon +49 (0)6221 / 3 45 – 4301 Än
deru
ngen
vor
beha
lten.
Erh
ältli
ch im
Buc
hhan
del o
der
beim
Ver
lag.
In
nerh
alb
Deu
tsch
land
s lie
fern
wir
vers
andk
oste
nfre
i.
Einführungsbuch, das die theoretischen Grundlagen anwendungsnah präsentiert
springer-vieweg.de
Entwicklung FuNKTIONAlE SIcHErHEIT
448
Testaufgaben zeit und kosteneffizient umgesetzt werden. Sobald automatisierte Prüffelder einen Beitrag zu den Arbeitsprodukten nach ISO 26262 leisten, stellt die Norm gewisse Anforderungen an diese Systeme.
Generell zu berücksichtigen sind die Anforderungen an Testaktivitäten für die Steuergeräte der mechatronischen Prüflinge, die in der Norm unter dem Überbegriff „Verification“ zusammengefasst sind. Methodiken und Prämissen, unter denen die automatisierten Prüfsysteme eingesetzt werden, sind Bestandteil des Verifikationplans. Testberichte mit dem not wendigen Informationsgehalt bilden den Verifikationsbericht. Folgende konkrete Aktivitäten in den Entwicklungsphasen ergeben sich abgeleitet aus den generellen und spezifischen Anforderungen: der SoftwareVerifikationsplan, der SoftwareVerifikationsbericht der „Objektintegrations und Testplan“ und die Integrationstestberichte.
Bisher unterschätzt wird dabei die Be deutung einer geeigneten Teststrategie, die durch den Verifikationsplan und die Inhalte des Objektintegrations und Testplans sowie des SoftwareVerifikationsplans beschrieben werden. Wichtiger Bestandteil der Teststrategie ist die Ableitung geeigneter Testmethoden und techniken von den für das Prädikat „funktional sicher“ notwendigen Systemeigen
schaften des Prüflings, ❸. Die Teststrategie leistet damit einen wichtigen und notwendigen Beitrag zur effizienten Dokumentation eines strukturierten Safety Case. Ohne eine entsprechende Teststrategie wird es kaum möglich sein, die notwendigen Tests zu identifizieren und einen vollständigen Sicherheitsnachweis zu erbringen.
Prüfsysteme können bis zur Fahrzeugintegration dazu beitragen, die korrekte Umsetzung sicherheitsrelevanter technischer Maßnahmen und Konzepte nachzuweisen beziehungsweise zu dokumentieren. Der Nachweis, dass Fehler in einem System jederzeit beherrschbar sind und dadurch keine Gefährdung für Verkehrsteilnehmer und Fahrzeuginsassen ausgeht, wird im Rahmen der „Safety Validation“ normalerweise durch Fahrzeugreaktionstests erbracht. Doch auch hier können automatisierte Prüfsysteme die Effizienz steigern, da manche Fahrsituationen oder Fehlerkonstellati onen im realen Fahrzeug nur schwer oder nur mit einem großem Aufwand darstellbar sind. Für diesen Einsatzzweck sind die Anforderungen an „Validation Plan“ und „Validation Report“ zu berücksichtigen.
Allgemein muss vor dem Einsatz eines Prüffelds oder Testwerkzeugs die Frage gestellt werden, ob das Hilfsmittel in der Lage ist, Teile der Teststrategie umzusetzen. Ist dies nicht der Fall, sollte auf den Einsatz verzichtet werden, da es keinen
❸ Zusammenhang zwischen Teststrategie und Sicherheitsnachweis
Kreiselsystem mit GPS zur
Fahrdynamikmessung
GPS-synchron
einfache Bedienung
geringe Rüstzeit
geringe Datenlatenz
· Fahrdynamische
Untersuchungen
· Messung der Aufbau-
bewegung
· Fahrkomfortanalyse
· Fahrbahn- & Strecken-
vermessung
· Zentimetergenaue
Positionierung
· Validierung von
Simulationsmodellen
· Lenkroboteransteuerung
· Evaluierung von
Fahrerassistenzsystemen
GeneSysElektronik GmbH
K o m p e t e n z i n
G P S - u n d K r e i s e l -
M e s s t e c h n i k
GeneSys Elektronik GmbH
www.genesys-adma.de
77656 Offenburg · Germany
Tel. +49 781 / 969279-0
A D M A
44906I2012 7. Jahrgang
Beitrag zum Sicherheitsnachweis leisten kann, ❹.
Eine besondere Herausforderung ergibt sich aus der Tatsache, dass die Prüfsysteme, sowohl die Automatisierung beziehungsweise Regelung des Komponentenprüfstands als auch die HiLSysteme, selbst aus komplexer Soft und Hardware bestehen. Dies kann dazu führen, dass
kritische Fehler in der zu testenden Software und der Komponente nicht erkannt werden, beispielsweise durch Auslassen von Tests, falschen Berechnungen von TestSollwerten in der Fahrsimulation oder der Komponentenprüfstand ist schlichtweg nicht in der Lage, den Prüfling gemäß Vorgabe zu testen. In der Konsequenz davon muss der Einfluss des Prüfsystems
auf die funktionale Sicherheit des Prüflings vor der Verwendung bewertet werden, ④.
In diesem Kontext fordert die ISO 26262 für die Erstellung des Verifikationsplans, dass die gewählte Methodik geeignet sein muss. Das heißt, der Testbetreiber hat sicherzustellen und nachzuweisen, dass im Rahmen der durchgeführten Tests sicherheitsrelevante Fehler erkannt werden und das Prüfsystem selbst keine sicherheitsrelevanten Fehler im zu prüfenden Objekt verursacht. Dies kann sowohl über prozessuale Maßnahmen als auch durch entsprechende Eignungsnachweise, ❺, der eingesetzten Prüfsysteme erfolgen. Der Fokus liegt dabei auf der Software. Als wesentlicher Bestandteil der Testautomatisierung ermöglicht sie es, einzelne Testschritte und damit Teilaktivitäten nach ISO 26262 zu automatisieren und zusammenzufassen. Ein typisches Beispiel dafür sind automatisierte Regressionstests. Hardwareeigenschaften von Prüffeldern werden von der ISO nicht explizit adressiert. Für den Einsatz von Softwarewerkzeugen während der Entwicklung stellt die Norm Anforderungen an deren Qualifizierung in Bezug auf eine konkrete Anwendung im Entwicklungsprojekt. Wie in der Praxis die generelle Eignung und der notwendige Vertrauensgrad an die re levanten Eigenschaften der Softwarewerkzeuge sinnvoll nachgewiesen werden können, wurde innerhalb der Branche noch nicht abschließend diskutiert.
❹ Bewertung des Werkzeugeinsatzes
Markttrends in der Klebtechnik
MARKTÜBERSICHT
Die Hersteller von Dichtstoffen im Überblick
WÄRMEAKTIVIERBARE DISPERSIONSKLEBSTOFFE
Lange Topfzeit dank Polycarbodiimid-Vernetzer
KUNSTSTOFF-METALL-HYBRIDTECHNIK
Im Spritzguss stoff-schlüssig verbunden
7-8 2012 JG 56 • www.adhaesion.com
Induktionsthermografie in der Klebfertigung
Klebschichtfehler zerstörungsfrei aufspüren
Handbuch Klebtechnik 2012300 Seiten. Broschiert. Euro 25,90ISBN 978-3-658-00401-9
Jetzt bestellen unter www.adhaesion.com
Entwicklung FuNKTIONAlE SIcHErHEIT
450
Denkbar sind individuelle oder auch standardisierte Kombinationen von Testprozessen, Testfällen und unter Sicherheitsaspekten speziell entwickelte Teilkomponenten (Hard und/oder Software) von HiLSystemen.
autoMatisiErtE prüffElDEr in DEr proDuktion
Anforderungen an die Produktion sicherheitsrelevanter Systeme werden ebenfalls von der ISO 26262 adressiert. Für jedes produzierte System muss nachgewiesen und dokumentiert werden, dass die Produkteigenschaft „funktional sicher“ er reicht wurde. Ergebnis und Dokumentation bilden den KontrollmaßnahmenBericht (Control Measures Report), zu dem automatisierte Prüffelder, beispielsweise Bandendetests, einen Beitrag leisten können. Um die Belastbarkeit der Ergebnisse sicherzustellen, muss im sicherheitsbezogenen Teil des Produktionskontrollplans (Production Control Plan) dokumentiert werden, wie mithilfe der automatisierten Prüffelder die notwendigen Systemeigenschaften nachgewiesen werden können. Auch die Überwachung des Testequipments selbst, zum Beispiel durch regelmäßige Selbsttests, manuelle Tests, etc. ist Teil des ProduktionskontrollPlans, da sie die Wirksamkeit des eingesetzten Testequipments über der Zeit nachweisen. Analog zu Testaktivitäten während der Entwicklung muss auch hier die Eignung des eingesetzten Testsystems unter Berücksichtigung der oben vorgestellten Fragestellungen diskutiert werden.
ZusaMMEnfassung
Mit der Veröffentlichung der ISO 26262 Ende 2011 wurden erstmals spezielle An forderungen an die Entwicklung von sicherheitsrelevanten elektronischen Systemen im Automobilbereich gestellt. Diese sind auch bei automatisierten Prüffeldern zu berücksichtigen, sofern sie in der Entwicklung Beiträge zu Arbeitsprodukten nach ISO 26262 leisten. Sowohl durch Einbindung in Prozesse als auch durch Nachweise der notwendigen technischen Eigenschaften ist zu gewährleisten, dass weder sicherheitskritische Fehler im zu testenden System unentdeckt bleiben noch neue Fehler entstehen können. Wie die Nachweise zu erbringen sind, ist abhängig vom jeweiligen Projektumfeld und der Einbettung in die spezifische Teststrategie.
In der Produktion sicherheitsrelevanter Systeme eingesetzte automatisierte Prüffelder weisen nach, dass die Produkte die relevanten Eigenschaften besitzen. Deswegen müssen sie hinsichtlich ihrer Wirksamkeit betrachtet werden.
litEraturhinwEis[1] ISO 26262:2011(E), International Organization for Standardization, Genf
❺ Eignungsnachweis für Testsysteme
DownloaD DEs bEitrags www.ATZonline.de
rEaD thE English E-MagaZinE order your test issue now: [email protected]
Mobilität erhalten ...Prüfsysteme für
Lithium-Ionen-Batterien
Innovative Standard-Testsystemezur Reproduzierbarkeit vonTemperatur, Feuchte, schnellen Temperaturwechseln,Vibration, Korrosion,Luftschadstoffen
Sicherheitskonzepte für einen risikoarmen Betrieb Ihrer Produkte
Maßgeschneiderte Zusatz-einrichtungen, zum BeispielMedientemperierung für- Lithium-Ionen-Batterien- Halbleiterelektronik- Elektromotoren
Weitere Infos, Messetermine und Symposien unter
www.voetsch.info
Produktbereich UmweltsimulationBeethovenstraße 3472336 Balingen-Frommern/Germany Telefon +49 7433 303-0 · Telefax +49 7433 [email protected] · www.voetsch.info06I2012 7. Jahrgang