Safety-Engineering & Management

Safety ist inhärent in ein System eingearbeitet. Folglich sind alle Fachdomänen in Safety involviert.
Entsprechend komplex ist der Standard ISO 26262 - Funktionale Sicherheit geworden:

ISO 26262 Funktionale Sicherheit in Zahlen
(Basiert auf ISO 26262:2018 (2nd Ed) Funktionale Sicherheit)
Safety Management ISO 26262
Projektbezogens Safety Management: vom Safety Plan bis zum finalen Safety Case

Weiterlesen...

Sicherheitskonzepte entwickeln
Funktionale und technische Sicherheitskonzepte für Ihre Sicherheitsziele

Weiterlesen...

Produkt Sicherheit
Auch Gefährdungen aus Hochvolt, Brand, Hydraulik, uvm. brauchen einen Safety Case

Weiterlesen...


Safety Management für ISO 26262

Sie sollten ISO 26262 einhalten, sobald Elektronik zu Ihrem Automotive System gehört. Natürlich variiert der Umfang je nach System und nach Kritikalität. Ein Antriebsstrang mit einem ASIL D erfordert meistens den kompletten Umfang nach ISO 26262. Wussten Sie, dass Sie für eine eMaschine mit einem Resolver die ISO 26262 einhalten sollten und plötzlich Auflagen an Prozesse wie Konfigurations- und Change Request Management haben? Allerdings können wir das Gros der ISO 26262 geschickt reduzieren (Stichwort: tailoring). Oder, ist Ihnen klar, dass Sie die Aktivitäten laut ISO 26262 reduzieren können, wenn Sie Ihre Architektur geschickt gestalten?

Ich begleite Ihr Projektteam als Safety Manager. Von der initialen Impact Analyse über einen Safety Plan mit Methodenauswahl bis hin zum Safety Assessment und dem Safety Case. Die Safety-Aktivitäten webe ich in Ihren normalen Projektablauf mit ein. Wir machen möglichst viel Gebrauch von dem, was Sie eh schon tun. Während der Entwicklung unterstütze ich Ihr Team hands-on. Bei der Bewertung von Konzepten aus der Sicht der Safety oder bei Gefährdungsbeurteilungen für Musterfreigaben. Zudem berate ich Ihre Architekten, wie die Architektur aussehen müsste, um Aktivitäten nach ISO 26262 zu reduzieren.

IHR NUTZEN

  • Belastbarer Safety Case für Ihr Produkt
  • Bestandenes Safety Audit und Assessment
  • Klarer Arbeitsplan für die Safety Aktivitäten
  • Gefährdungsbeurteilungen von Auffälligkeiten
  • Einsparpotentiale mit der richtigen Architektur
  • ISO 26262 erfüllt
  • Synergien zu Automotive SPICE gehoben

Ein Beispiel für eine Safety Impact Analyse for the Item laut ISO 2626 Funktionale Sicherheit
Auszug einer Safety Impact Analyse für das Item gem. ISO 26262.
(Darstellung aus eigenem Projekt.)
Auszug aus Safety Plan und Safety Case gemäß ISO 262626 Funktionale Sicherheit
Kontinuierlicher gepflegter Safety Plan und Safety Case für ISO 26262-2.
(Darstellung aus eigenem Projekt.)
Tailoring der Methoden aus ISO 26262 über den Produktlebenszyklus
Tailoring der Entwicklungsmethoden aus ISO 26262 gemäß höchstem ASIL-Level.
(Darstellung aus eigenem Projekt.)
Development Interface Agreement nach ISO 26262 und RASCI für Projektteam sowie Confirmation Measures
Development Interface Agreement nach ISO 262626-8 sowiei RASCI des Projektteams.
(Darstellung aus eigenem Projekt.)
Statusbericht für Safety-Projekt mit Aufwand, Meilensteintrendanalyse, Risikoübersicht, Reifegrad und Restbudget
Cockpit Chart für Safety-Statusberichte.
(Darstellung aus eigenem Projekt.)
Aufwandsschätzung für ein Safety-Projekt
Aufwandsschätzung für ein Safety-Projekt
(Darstellung aus eigenem Projekt.)
Risikoabschätzung von Fehlern auf Basis von Projektparametern und VDA702
Risikoabschätzung für Auffälligkeiten
(Darstellung aus internen Projekten)

             

Funktionale Sicherheit (ISO 26262)

  • Band 2: Safety Management im Projekt
  • Band 3, 4, 5, 6, 9: Notwendige Engineering Aktivitäten für Ihr System auswählen und umsetzen.
  • Band 8: Auflagen an unterstützende Prozesse im Projekt einhalten.
  • Band 7: Schnittstelle zum Qualitätsmanagement der Produktion etablieren

Automotive SPICE

Synergien heben zu:

  • SYS.1-SYS.5: Systems Engineering
  • SWE.1-SWE.6: Software Engineering
  • MAN.3, MAN.5: Management Processes
  • SUP.1, SUP.8-SUP.10: Unterstützende Prozesse
  • ACQ.4: Supplier Monitoring

Methodisch

  • Technisches Projekt- und Risikomanagement
  • Development Interface Agreement
  • Verification & Confirmation Reviews
  • Architekturbewertung
  • Beratung des Projektteams

Sicherheitskonzepte entwickeln

Safety Engineering ist Systems Engineering mit dem Fokus auf Safety. Anders als bei Kraftwerken können wir im Auto nicht einfach ein Sicherheitssystem um das Steuergerät drumherum bauen. Automotive Embedded Systeme müssen inhärent sicher sein. Für fast jede Funktion gibt es einen Sicherheitsanteil. Die Elektronik muss in Gänze auf die Sicherheitsziele ausgelegt sein. ISO 26262 hat das Rad nicht neu erfunden. Keineswegs.

Ich nutze bewährte Architekturmuster und wende sie auf Ihr System an, z.B. das 3-Ebenen-Konzept (»EGAS«). Gleichermaßen gibt es auch Entwurfsmuster, wie End-to-End-Verschlüsselung, Locksteps oder Memory Protection Unit, die wir als Sicherheitsmechanismen ausnutzen können. Mit Ihrem Team lege ich fest, was wir für die entsprechenden Sicherheitsziele tun müssen. Außerdem suchen wir eine geschickte Dekomposition, damit Sie diese aufwändigen Mechanismen nur auf isolierte Bereiche des Systems anwenden müssen.

IHR NUTZEN

  • Funktionale und technische Sicherheitskonzepte für Ihr System
  • Stückkosten und Entwicklungsaufwand einsparen, da Safety-Mechanismen in sicherheitsrelevanten Systemteilen gekapselt sind
  • ASIL Dekomposition und Rückwirkungsfreiheit (Freedom from Interference) ermöglichen
  • ISO 26262 und Automotive SPICE sind erfüllt

Hiearchical system architecture with 3 layer from kontext view over system concept to basis software
Die ISO 26262 geht von einer strengen hierarchischen Ordnung vom Fahrzeug über Items, Systeme und Komponenten aus.
(Darstellung angelehnt an Haberfellner, R., Fricke, E., de Weck, O., & Vössner, S. (2012). Systems Engineering : Grundlagen und Anwendung. Zürich: Orell Füssli.)
Das Bild zeigt ein Sicherheitskonzept mit Input, Ebene 1 Funktionsschicht, Ebene 2 Monitoringschicht, Ebene 3 Hardwaremonitoring und Output beziehungsweise Aktuatoren
Sicherheitskonzept mit Funktions-, Funktions-Monitoring und Hardware-Monitoring
(Eigene Darstellung)
Das Bild zeigt ein Sicherheitskonzept mit Input, Ebene 1 Funktionsschicht, Ebene 2 Monitoring Schicht und Output beziehungsweise Aktuatoren
Architekturmuster: Sicherheitskonzept mit Funktions- und Monitoringebene
(Eigene Darstellung)
Ausschnit einer Anforderunsspezifikation für Sicherheitskonzepte
Sicherheitsanforderungen werden wie gehabt spezifiziert
(Eigene Darstellung.)
Das Bild zeigt Sicherheitsmechanismen mit zugehörigem ASIL-Level und Verteilung auf Hardware
Verteilung der ASIL-Funktionen nach ASIL-Level auf Hardware-Komponenten
(Eigene Darstellung)
Das Bild zeigt eine einfache funktionale Regelstruktur zur Kraftberechnung
Funktionsprinzip eines Kraftreglers
(Eigene Darstellung)
Signalflussanalyse für eine hierarchische System-Architektur
Fehlerreaktionszeit (FHTI): Für Sicherheitsfunktion ist ein Zeitintervall einzuhalten
(Eigene Darstellung)
Sequence-Chart für die Optimierung einer Fault Handling Time Interval Performance
Sequenz-Diagramm für die Optimierung eines Sicherheitsmechanismus
(Eigene Darstellung.)
Das Bild zeigt die zeitliche Entwicklung der Qualitätsmetrik Fault Handling Time Interval über mehrere Softwarestände
Safety-Ziele: Fehlerreaktionszeit (FHTI) systematisch verbessert
(Eigene Darstellung aus internen Projekten)

                  

Produktsicherheit erfüllen

Wussten Sie, dass Sie Sicherheitsanforderungen erfüllen müssen, obwohl Ihr System nicht in den Anwendungsbereich der ISO 26262 fällt? Die Isolation einer eMaschine ist so ein Fall oder Luft- und Kriechstrecken. Durch eine entsprechende Auslegung sollen Gefährdungen durch Hochvolt und durch Brand vermieden werden. Das und mehr fällt unter den Begriff der Produktsicherheit.

Ich erarbeite mit Ihrem Team die notwendigen Aktivitäten und einen Safety Case für Gefährdungen der Produktsicherheit:

  • Hochvoltsicherheit
  • Thermische Überlastung oder Brand
  • Ungewollte Beschleunigung oder Verzögerung
  • Fehlerhafte Informationen und Signale, z.B. wenn Sie nur Anwendungssoftware entwickeln
  • Verlust der Energieversorgung
  • Elektromagnetische Strahlung
  • Mechanische Zugänge
  • Hydraulik
  • Pneumatik
  • Strahlung
  • Explosion
  • Magnetismus
  • Optik

IHR NUTZEN

  • Funktionale und technische Sicherheitskonzepte für Ihr System
  • Stückkosten und Entwicklungsaufwand einsparen, da Safety-Mechanismen in sicherheitsrelevanten Systemteilen gekapselt sind
  • ASIL Dekomposition und Rückwirkungsfreiheit (Freedom from Interference) ermöglichen
  • ISO 26262 und Automotive SPICE sind erfüllt

FÜR Ihre Entscheidung

Meine Erfahrung mit ISO 26262

Niemand kann allein die ISO 26262 vollständig abdecken. Ich auch nicht. Lesen Sie nachfolgend, auf welche Aktivitäten ich mich spezialisiert habe. Die Füllbalken zeigen meine Erfahrung.

1. Vocabulary

2. Management of Functional Safety

2-5 Overall Safety Management
2-6 Project dependent Safety Management
2-7 Safety Management regarding production, operation, service, and decommissioning

3. Concept Phase

3-5 Item Definition
3-6 Hazard Analysis and Risk Assessment
3-7 Functional Safety Concept

4. Product Development at the System Level

4-5 General Topics for the Product Development at the System Level
4-6 Technical Safety Concept
4-7 System Integration and Testing
4-8 Safety Validation

12. Adaptation of ISO 26262 for Motorcycles

12-5 General Topics for Adaptation of Motorcycles
12-6 Safety Culture
12-7 Confirmation Measures
12-8 Hazard Analysis and Risk Assessment
12-9 Integration and Testing
12-10 Safety Validation

5. Product Development at the Hardware Level

5-5 General Topics for the Product Development at the Hardware Level
5-6 Specification of Hardware Safety Requirements
5-7 Hardware Design
5-8 Evaluation of the Hardware Architectural Metrics
5-9 Evaluation of the Safety Goal Violations due to random Hardware Failures
5-10 Hardware Integration and Verification

6. Product Development at the Software Level

6-5 General Topics for the Product Development at the Software Level
6-6 Specification of Software Safety Requirements
6-7 Software Architectural Design
6-8 Software Unit Design and Implementation
6-9 Software Unit Verification
6-10 Software Integration and Verification
6-11 Testing of the Embedded Software

7. Production, operation, service and decommissioning

7-5 Planning for production, operation, service and decommissioning
7-6 Production
7-7 Operation, service and decommissioning

8. Supporting Processes

8-5 Interfaces within Distributed Developments
8-6 Specification and Management of Safety Requirements
8-7 Configuration Management
8-8 Change Management
8-9 Verification
8-10 Documentation Management
8-11 Confidence in the Use of Software Tools
8-12 Qualification of Software Components
8-13 Evaluation of Hardware Elements
8-14 Proven in use Argument
8-15 Interfacing an Application out of Scope of ISO 26262
8-16 Integration of safety-related Systems not developed according to ISO 26262

9. Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented Analyses

9-5 Requirements Decomposition with respect to ASIL Tailoring
9-6 Criteria for Coexistence of Elements
9-7 Analysis of Dependent Failures
9-8 Safety Analyses

Legende

Schulungsniveau
Koordination für Safety Case
Aktivitäten geringer Komplexität
Review und Analysen
4+ Jahre Erfahrung
6+ Jahre Erfahrung
8+ Jahre Erfahrung

Übersicht zur ISO 26262:2018 (2nd Ed.) Funktionale Sicherheit
Mein Fähigkeiten und Kompetenzen auf ISO 26262 gemappt
Übersicht zur ISO 26262:2018 (2nd Ed.) Funktionale Sicherheit

FAQ - Häufig gestellte Fragen

  • Ab wann muss ich ISO 26262 anwenden? ISO 26262 ist für Embedded Systeme oder elektrische Komponenten anzuwenden, die in a) Straßenfahrzeugen außer Mopeds verbaut werden und b) in Serienproduktion erzeugt werden und c) ab 2011 in Serie gegangen sind.
  • Gilt die ISO 26262 nur für Fahrzeuge bis 3,5t? Nicht mehr. Mit der zweiten Edition anno 2018 wurde diese Einschränkung entfernt. So wurden neue Kapitel für LKW, Busse und Motorräder in die ISO 26262 aufgenommen.
  • Ist Sicherheit mit ISO 26262 komplett abgedeckt? Nein. Einerseits müssen Sie auch andere Gefährdungen der Produktsicherheit betrachten. Andererseits müssen Sie den rapide fortschreitenden Stand der Technik umsetzen; teilweise den Stand der Wissenschaft.
  • Gibt es Hilfestellungen bei der Gefahren- und Risikoanalyse (G&R)? Der VDA 702 Situationskatalog (Link) gibt Auftretenswahrscheinlichkeiten (Exposure) für typische Fahrszenarien an. Das ist eine gute Orientierung.
  • Was bedeutet Funktionssicherheit? Es geht um die Sicherheit der gewünschten Funktionen. Beim Elektroantrieb sind das etwa Beschleunigen, Bremsen, Rekuperieren, Hochvoltenergiewandlung. Ein Antrieb kann auch Wärme als »Abfallprodukt« erzeugen. Das fällt unter Produktsicherheit.
  • Welche Gefährdungen außer den funktionalen sind für mein Embedded System noch relevant? Typische weitere Gefährdungen (»Hazards«) sind Feuer, Explosion, irreführende Informationen, gefährliche Materialen oder Stoffe, Hydraulik, Pneumatik, Unterspannung im Fahrzeugnetz, Hochvoltkontakt.
  • Bedeutet »QM«, dass mein Produkt nicht sicherheits-relevant ist?Nein. Sie müssen nur keine speziellen Auflagen erfüllen, die die ISO 26262 an Ihr Embedded System oder Projekt stellt. Nicht sicherheits-relevant im Sinne der ISO 26262 würde bedeuten, dass Sie weder einen ASIL A bis D noch QM vergeben.
  • Tragen Safety Manager:innen die Verantwortung für Safety? Im Englischen unterscheiden wir »Accountability« und »Responsibility«. »Accountability« tragen die Projektleiter:innen beziehungsweise Ihr Unternehmen. Safety Manager:innen sind »responsible« für das korrekt durchgeführte Safety Management.
  • Bestätigt ein Safety-Assessment die Produktsicherheit? Nein, das können keine Safety Assessoren leisten. Dafür müsste sie Ihr Produkt im Detail beurteilen können und dafür müssten sie es selbst entwickelt haben. Sie können nur prüfen, ob Ihre Safety Argumentation plausibel, konsistent und integer ist.
  • Was unterscheidet ISO 26262 von IEC 61508? ISO 26262 berücksichtigt die speziellen Bedürfnisse von Automotive. Zum Beispiel sind die Sicherheitskonzepte in den Systemen integriert und nicht durch externe Zusatzsysteme abgedeckt. IEC 61508 gilt allgemein für Embedded Systeme.
  • Wie hängen Safety nach ISO 26262 und Security nach SAE AWI 21434 zusammen? Zuerst prüfen wir Safety. Einige der Safety-Mechanismen müssen vor Manipulation geschützt werden: Parameter, Bus-Kommunikation bis hin zu Passwörtern, um Code zu verschlüsseln. Das soll Security absichern.
  • Wie hängen ISO 26262 und Automotive SPICE® zusammen? ISO 26262 fordert die Umsetzung eines Qualitätsstandards wie ISO 9001, ISO TS 16949 oder auch Automotive SPICE®. Automotive SPICE® postuliert anerkannte Prozese; verrät uns aber nicht, wie man echte Probleme löst.

Was Sie bekommen

  • Nico Litschkes unschlagbare Erfahrung aus über 20 Jahren in der Sicherheitsentwicklung aus Automotive, Luftfahrt und Forschung. Es gibt nahezu keine Situation aus den Projektalltag, die er noch nicht erlebt hätte.
  • Hands-on Mentalität, das schnelle Erkennen systemischer Zusammenhänge, ein feines Gespür für Befindlichkeiten im Team, die richtigen Fragen im richtigen Augenblick sind die Facetten seiner Arbeit.

Nächste schritte

Erzählen Sie mir von Ihrem Projekt

Wir machen Ihre elektronischen, softwareintensiven Systeme sicher.