![Page 1: Umsetzung der ISO26262 in der Praxis - bicc-net.de · PDF fileMechanik ist nicht durch die ISO 26262 abgedeckt! Automobile Funktionale Sicherheit Momentaufnahme der Fähigkeitsgrade](https://reader033.vdokument.com/reader033/viewer/2022042520/5a9e08cf7f8b9ad2298c6086/html5/thumbnails/1.jpg)
AUTOMOTIVE INFOKOMVERKEHR &
UMWELT LUFTFAHRT RAUMFAHRTVERTEIDIGUNG &
SICHERHEIT
Umsetzung der ISO26262 in der PraxisDer sicherheitsgerichtete Alltag in der Automobilwelt
BICC Talk "Safety Engineering – Umsetzung der ISO26262 in der Praxis"1. Juli 2010, Garchinger Technologie- und Gründerzentrum, Garching
Dr. Henrik J. PutzerProgramm Manager "Safety & Compliance"
![Page 2: Umsetzung der ISO26262 in der Praxis - bicc-net.de · PDF fileMechanik ist nicht durch die ISO 26262 abgedeckt! Automobile Funktionale Sicherheit Momentaufnahme der Fähigkeitsgrade](https://reader033.vdokument.com/reader033/viewer/2022042520/5a9e08cf7f8b9ad2298c6086/html5/thumbnails/2.jpg)
Automobile Funktionale Sicherheit Safety: Teil der Herausforderung 'Komplexitätsbeherrschung'
Funktionalität
Funktions-Vernetzung
Verkehrsdichte
Safety
Security
Selbstheilung
car-to-X
ältere Fahrer
Entertainment Mensch-Maschine-Schnittstelle
Fehlertoleranz
Verfügbarkeit
Fahrer-Assistenz-Systeme
Autonome Systeme
Kommunikation
© IABG 2010ISO26262 Praxis Juli 2010
GesetzeUmwelt
Ressourcen
Entw.-Standards
PlattformenMärkte Allianzen
Wiederverwendung
Time-to-Market
Qualifizierung
Personal
FahrzeugpaletteModularität
Zentralisierung
Design-Paradigmen
Antriebstechnologie
Energie
Globalisierung
QualitätSegregation
Prozesse
Bild
: © b
y B
MW
� Schlüssel: Strukturiertes Vorgehen und fortgesetztes Lernen
![Page 3: Umsetzung der ISO26262 in der Praxis - bicc-net.de · PDF fileMechanik ist nicht durch die ISO 26262 abgedeckt! Automobile Funktionale Sicherheit Momentaufnahme der Fähigkeitsgrade](https://reader033.vdokument.com/reader033/viewer/2022042520/5a9e08cf7f8b9ad2298c6086/html5/thumbnails/3.jpg)
Steigende Funktionalität von Systemen(insbesondere Fahrerassistenz-Systeme)
Zunehmende Übernahme vonsicherheitsrelevantenRegelungsaufgaben
� Komplexität
� Verteilung, hoche Vernetzung
Automobile Funktionale SicherheitAnforderungen moderner Fahrer-Assistenz-Systeme
ACC stop&go
Stauassistent (+)
Parkassistent
PMA (+)
autonomes Fahren
Elektronische Hinterachslenkung
SBC (elektro-hydraulische Bremse)
steer-by-wirebrake-by-wire
Motor-Start-Stopp (MSA)
© IABG 2010
� Verteilung, hoche Vernetzung
Software:� CHANCE
(Differenzierung)
� RISIKO(Haftung, … )
ISO26262 Praxis Juli 2010
Tempomat
ACC
PDC
ESP (Electronic Stability Program)
ABS (Anti Blockier System)
Drosselklappe über Bowdenzug
Elektronische Drosselklappe (throttle-by-wire)
EPS (Electric Power Steering)
Servolenkung
Fahrer-Assistenzsysteme
Innovation: Fahrwerk und Antrieb
bremsenbeschleunigen
lenkenFunktionaleSicherheit
![Page 4: Umsetzung der ISO26262 in der Praxis - bicc-net.de · PDF fileMechanik ist nicht durch die ISO 26262 abgedeckt! Automobile Funktionale Sicherheit Momentaufnahme der Fähigkeitsgrade](https://reader033.vdokument.com/reader033/viewer/2022042520/5a9e08cf7f8b9ad2298c6086/html5/thumbnails/4.jpg)
Automobile Funktionale SicherheitGestern bis heute
<2002 Vorbild: Luft- und RaumfahrtSafety 'konservativ':- Sicherheit mit jedem Aufwand
2002 Vorbild: Anlagenbau (Erscheinen der IEC 61508)
2003+ Auseinandersetzung mit FuSi-Technologie
© IABG 2010
2010 ISO/FDIS 26262 (final draft international standard)• Angepasster Lebenszyklus (Musterzulassung, Produktion, …)
• Verteilte Entwicklung
• ASIL-Skala, passende Methoden (GuR, Dekomposition, …)
• …
heute Praxis: Etablierung der ISO 26262
Safety 'automotive':- Sicherheit kostengünstig durch intelligente Konzepte (lean FuSi)
Juli 2010ISO26262 Praxis
![Page 5: Umsetzung der ISO26262 in der Praxis - bicc-net.de · PDF fileMechanik ist nicht durch die ISO 26262 abgedeckt! Automobile Funktionale Sicherheit Momentaufnahme der Fähigkeitsgrade](https://reader033.vdokument.com/reader033/viewer/2022042520/5a9e08cf7f8b9ad2298c6086/html5/thumbnails/5.jpg)
Qualitäts-Standards• ISO 9000ff, ISO TR 16949• VDA Part 3.1 and 4.ff• DIN EN 60300-2 (Reliability Management)• VDI 4001-10: Technical Reliability
Wie ‚implementiert‘ man Funktionale Sicherheit?Normerfüllung
Branchenspezifische Entwicklungs-Vorgaben• Type Approval Regulations: ECE R13(H) Annex 18(8), ECE R79 Annex 6
Engineering Standards• ISO/IEC 12207 (SW-Process) • V-Model
Assessment Modelle• ISO 15504 (SPICE) • CMMI
© IABG 2010
Safety Standards• IEC 61508 (Meta-Standard)
• ISO TR 15497: MISRA Guidelines • ECSS-E-40A (EU, Space)• RTCA DO-178B (Aerospace SW, V&V)• SAE APR 7461 (Aerospace, HW)• NASA-GB-1740.13-96 (SW-Guidebook)• Def Stan 00-55 (Military)• IEC 60880 (SW in Nuclear Power Plants)
IEC 61508 Derivates• EN 5012x (Railway)• IEC 60601 1-4 (Medical)• IEC 61513 (Nuclear) • IEC 61511 (Process Industry)
• ISO 26262 (Automotive)
=> Anpassung an eine Branche
15.07.2010IABG IK13
![Page 6: Umsetzung der ISO26262 in der Praxis - bicc-net.de · PDF fileMechanik ist nicht durch die ISO 26262 abgedeckt! Automobile Funktionale Sicherheit Momentaufnahme der Fähigkeitsgrade](https://reader033.vdokument.com/reader033/viewer/2022042520/5a9e08cf7f8b9ad2298c6086/html5/thumbnails/6.jpg)
© IABG 2010ISO26262 Praxis Juli 2010
![Page 7: Umsetzung der ISO26262 in der Praxis - bicc-net.de · PDF fileMechanik ist nicht durch die ISO 26262 abgedeckt! Automobile Funktionale Sicherheit Momentaufnahme der Fähigkeitsgrade](https://reader033.vdokument.com/reader033/viewer/2022042520/5a9e08cf7f8b9ad2298c6086/html5/thumbnails/7.jpg)
Wie ‚implementiert‘ man Funktionale Sicherheit? Sicherheitslebenszyklus
UnterstützendeProzesse
QualitätAnforderungenKonfiguration
Dokumentationetc.
ManagementProzesse
PlanungQualifikation
VerantwortungRessourcen
etc.
Beschreibung der System-Funktionen,der groben Architektur und der Einsatzumgebung
Beschreibung gefahrbringender Situationen;Fehlfunktion des technischen Systems;
Risikobewertung >> ASIL
Sicherheitsfunktionen + ASILSicherheitskonzept
Systementwicklung,Verifikation & Validierung
Entwicklung
Sicherheits-Anforderungen
Gefahrenanal. &Risikobewertung
System-Definition
© IABG 2010IABG IK13 15.07.2010
{ , }Sicherheit ist eine integrale Sicherheit ist eine integrale Produkteigenschaft!Produkteigenschaft!
• Safety ist nicht hineinargumentierbar• Safety ist nicht hineintestbar
etc.etc.
Begutachtung durch unabhängige Stelle
Besondere Sicherheitsaktivitätenz.B. Sicherheitsanalysen
SafetyCase
Assessment /Zertifizierung
Entwicklung
![Page 8: Umsetzung der ISO26262 in der Praxis - bicc-net.de · PDF fileMechanik ist nicht durch die ISO 26262 abgedeckt! Automobile Funktionale Sicherheit Momentaufnahme der Fähigkeitsgrade](https://reader033.vdokument.com/reader033/viewer/2022042520/5a9e08cf7f8b9ad2298c6086/html5/thumbnails/8.jpg)
Wie ‚implementiert‘ man Funktionale Sicherheit? Verzahnung von Funktionaler Sicherheit und Funktionsentwicklung
Prozessumsetzung geschieht zurzeitnoch mit unterschiedlichem Niveau� Aufhebung der sich daraus
ergebenden Trennung der Abläufe
Management
Funktions-Entwicklung
FunktionaleSicherheit
© IABG 2010
Designansätze werden zusammengeführt� Funktionale Sicherheit
� Top-Down und eher schwergewichtig
� Funktionsentwicklung� Bottom-Up und ergebnisorientiert
IABG IK13 15.07.2010
![Page 9: Umsetzung der ISO26262 in der Praxis - bicc-net.de · PDF fileMechanik ist nicht durch die ISO 26262 abgedeckt! Automobile Funktionale Sicherheit Momentaufnahme der Fähigkeitsgrade](https://reader033.vdokument.com/reader033/viewer/2022042520/5a9e08cf7f8b9ad2298c6086/html5/thumbnails/9.jpg)
Automobile Funktionale SicherheitGestern bis heute
<2002 Vorbild: Luft- und RaumfahrtSafety 'konservativ':- Sicherheit mit jedem Aufwand
2002 Vorbild: Anlagenbau (Erscheinen der IEC 61508)
2003+ Auseinandersetzung mit FuSi-Technologie
© IABG 2010
2010 ISO/FDIS 26262 (final draft international standard)• Angepasster Lebenszyklus (Musterzulassung, Produktion, …)
• Verteilte Entwicklung
• ASIL-Skala, passende Methoden (GuR, Dekomposition, …)
• …
heute Praxis: Etablierung der ISO 26262
Safety 'automotive':- Sicherheit kostengünstig durch intelligente Konzepte (lean FuSi)
Juli 2010ISO26262 Praxis
![Page 10: Umsetzung der ISO26262 in der Praxis - bicc-net.de · PDF fileMechanik ist nicht durch die ISO 26262 abgedeckt! Automobile Funktionale Sicherheit Momentaufnahme der Fähigkeitsgrade](https://reader033.vdokument.com/reader033/viewer/2022042520/5a9e08cf7f8b9ad2298c6086/html5/thumbnails/10.jpg)
Steer-by-wire Anforderung
� verteilt
� fehlertolerant
� sicherheitsgerichtet (ASIL D)
� "fail operational"
Lösung der Luftfahrt
Moderne Fahrer-Assistenz-Systeme Intelligentes Sicherheitskonzept, Beispiel: steer-by-wire
E/ETeilsystem
MechanischeRückfallebene
sichererUmschalter
© IABG 2010
� Mehrfache Redundanz (2oo3+)
� Teure Lösung, da Redundanzen in� Sensoren, Steuerungen, Aktuatoren
� Energieversorg., Kommunikation, …
Lösung Automotive
� E/E-System: fail silent (nicht-redundantes, steer-by-wire Wertschöpfung)
� Mechanische Rückfallebene: fail operational (einfache Realisierung, sicherer Notlauf)
� Gesamtsystem: fail operational (mit sicherem Umschalter)
Juli 2010ISO26262 Praxis
Mechanik ist nicht durch die ISO 26262 abgedeckt!
![Page 11: Umsetzung der ISO26262 in der Praxis - bicc-net.de · PDF fileMechanik ist nicht durch die ISO 26262 abgedeckt! Automobile Funktionale Sicherheit Momentaufnahme der Fähigkeitsgrade](https://reader033.vdokument.com/reader033/viewer/2022042520/5a9e08cf7f8b9ad2298c6086/html5/thumbnails/11.jpg)
Automobile Funktionale Sicherheit Momentaufnahme der Fähigkeitsgrade im Markt
Einige stehen noch am Anfang
Erste Unternehmen sehr gut(in einzelnen Abteilungen)
Es gibt ausgeprägteKompetenz-Führer im Markt
Abd
ecku
ng im
Mar
ktse
gmen
t Aut
omob
il
100%
die meisten Firmendie meisten Firmen
© IABG 2010
FuSi-Umsetzung steigt
� Erste nicht-Nominierungen wegen unzureichender FuSi-Prozesse
� Erste Eskalation bei nicht-Erfüllung von FuSi-Anforderungen(Entwickler-Camps!)
� Existenzgefährdende Konsequenzen für Hersteller
Mar
ktse
gmen
t Aut
omob
il
FuSiFähigkeit
ausgesuchte Abteilungen
in ausgesuchten Firmen
ausgesuchte Abteilungen
in ausgesuchten Firmen
Juli 2010ISO26262 Praxis
Que
lle: I
AB
G
![Page 12: Umsetzung der ISO26262 in der Praxis - bicc-net.de · PDF fileMechanik ist nicht durch die ISO 26262 abgedeckt! Automobile Funktionale Sicherheit Momentaufnahme der Fähigkeitsgrade](https://reader033.vdokument.com/reader033/viewer/2022042520/5a9e08cf7f8b9ad2298c6086/html5/thumbnails/12.jpg)
Automobile Funktionale SicherheitZusammenfassung / Ausblick
Mit der ISO26262 setzt sichdie Automobilbranche einen eigenen Standardfür die Entwicklung sicherheitsrelevanter E/E-Systeme
Steigende Anwendung und Etablierung in der gesamten Branche� Safety wird Teil des Entwicklungsalltags (Auflösung der FuSi-Parallelwelt)
� FuSi-Wissensniveau und Praxiserfahrung steigen
� Es entstehen automobilspezifische Konzepte und Lösungen
© IABG 2010
� Es entstehen automobilspezifische Konzepte und Lösungen
Zukunft: Kombination von Funktionaler Sicherheit und weiteren Attributen� Reifegrade: z.B. ISO 26262 + Automotive SPICE
� Dependability = Safety + Security
� Funktionale Sicherheit gehört in das Portfolio undRisikomanagement jeder Firma der Automobilbranche
IABG IK13 15.07.2010
![Page 13: Umsetzung der ISO26262 in der Praxis - bicc-net.de · PDF fileMechanik ist nicht durch die ISO 26262 abgedeckt! Automobile Funktionale Sicherheit Momentaufnahme der Fähigkeitsgrade](https://reader033.vdokument.com/reader033/viewer/2022042520/5a9e08cf7f8b9ad2298c6086/html5/thumbnails/13.jpg)
Kontakt
I A B G
IndustrieanlagenBetriebsgesellschaft mbH
Einsteinstr. 20
D-85521 Ottobrunn
© IABG 2010ISO26262 Praxis
� Dr. Henrik J. Putzer, IK13Programm Manager "Safety & Compliance"[email protected]+49-89-6088-2118
D-85521 Ottobrunn
Germany
www.iabg.de
Juli 2010