AUTOMOTIVE INFOKOMVERKEHR &
UMWELT LUFTFAHRT RAUMFAHRTVERTEIDIGUNG &
SICHERHEIT
Umsetzung der ISO26262 in der PraxisDer sicherheitsgerichtete Alltag in der Automobilwelt
BICC Talk "Safety Engineering – Umsetzung der ISO26262 in der Praxis"1. Juli 2010, Garchinger Technologie- und Gründerzentrum, Garching
Dr. Henrik J. PutzerProgramm Manager "Safety & Compliance"
Automobile Funktionale Sicherheit Safety: Teil der Herausforderung 'Komplexitätsbeherrschung'
Funktionalität
Funktions-Vernetzung
Verkehrsdichte
Safety
Security
Selbstheilung
car-to-X
ältere Fahrer
Entertainment Mensch-Maschine-Schnittstelle
Fehlertoleranz
Verfügbarkeit
Fahrer-Assistenz-Systeme
Autonome Systeme
Kommunikation
© IABG 2010ISO26262 Praxis Juli 2010
GesetzeUmwelt
Ressourcen
Entw.-Standards
PlattformenMärkte Allianzen
Wiederverwendung
Time-to-Market
Qualifizierung
Personal
FahrzeugpaletteModularität
Zentralisierung
Design-Paradigmen
Antriebstechnologie
Energie
Globalisierung
QualitätSegregation
Prozesse
Bild
: © b
y B
MW
� Schlüssel: Strukturiertes Vorgehen und fortgesetztes Lernen
Steigende Funktionalität von Systemen(insbesondere Fahrerassistenz-Systeme)
Zunehmende Übernahme vonsicherheitsrelevantenRegelungsaufgaben
� Komplexität
� Verteilung, hoche Vernetzung
Automobile Funktionale SicherheitAnforderungen moderner Fahrer-Assistenz-Systeme
ACC stop&go
Stauassistent (+)
Parkassistent
PMA (+)
autonomes Fahren
Elektronische Hinterachslenkung
SBC (elektro-hydraulische Bremse)
steer-by-wirebrake-by-wire
Motor-Start-Stopp (MSA)
© IABG 2010
� Verteilung, hoche Vernetzung
Software:� CHANCE
(Differenzierung)
� RISIKO(Haftung, … )
ISO26262 Praxis Juli 2010
Tempomat
ACC
PDC
ESP (Electronic Stability Program)
ABS (Anti Blockier System)
Drosselklappe über Bowdenzug
Elektronische Drosselklappe (throttle-by-wire)
EPS (Electric Power Steering)
Servolenkung
Fahrer-Assistenzsysteme
Innovation: Fahrwerk und Antrieb
bremsenbeschleunigen
lenkenFunktionaleSicherheit
Automobile Funktionale SicherheitGestern bis heute
<2002 Vorbild: Luft- und RaumfahrtSafety 'konservativ':- Sicherheit mit jedem Aufwand
2002 Vorbild: Anlagenbau (Erscheinen der IEC 61508)
2003+ Auseinandersetzung mit FuSi-Technologie
© IABG 2010
2010 ISO/FDIS 26262 (final draft international standard)• Angepasster Lebenszyklus (Musterzulassung, Produktion, …)
• Verteilte Entwicklung
• ASIL-Skala, passende Methoden (GuR, Dekomposition, …)
• …
heute Praxis: Etablierung der ISO 26262
Safety 'automotive':- Sicherheit kostengünstig durch intelligente Konzepte (lean FuSi)
Juli 2010ISO26262 Praxis
Qualitäts-Standards• ISO 9000ff, ISO TR 16949• VDA Part 3.1 and 4.ff• DIN EN 60300-2 (Reliability Management)• VDI 4001-10: Technical Reliability
Wie ‚implementiert‘ man Funktionale Sicherheit?Normerfüllung
Branchenspezifische Entwicklungs-Vorgaben• Type Approval Regulations: ECE R13(H) Annex 18(8), ECE R79 Annex 6
Engineering Standards• ISO/IEC 12207 (SW-Process) • V-Model
Assessment Modelle• ISO 15504 (SPICE) • CMMI
© IABG 2010
Safety Standards• IEC 61508 (Meta-Standard)
• ISO TR 15497: MISRA Guidelines • ECSS-E-40A (EU, Space)• RTCA DO-178B (Aerospace SW, V&V)• SAE APR 7461 (Aerospace, HW)• NASA-GB-1740.13-96 (SW-Guidebook)• Def Stan 00-55 (Military)• IEC 60880 (SW in Nuclear Power Plants)
IEC 61508 Derivates• EN 5012x (Railway)• IEC 60601 1-4 (Medical)• IEC 61513 (Nuclear) • IEC 61511 (Process Industry)
• ISO 26262 (Automotive)
=> Anpassung an eine Branche
15.07.2010IABG IK13
© IABG 2010ISO26262 Praxis Juli 2010
Wie ‚implementiert‘ man Funktionale Sicherheit? Sicherheitslebenszyklus
UnterstützendeProzesse
QualitätAnforderungenKonfiguration
Dokumentationetc.
ManagementProzesse
PlanungQualifikation
VerantwortungRessourcen
etc.
Beschreibung der System-Funktionen,der groben Architektur und der Einsatzumgebung
Beschreibung gefahrbringender Situationen;Fehlfunktion des technischen Systems;
Risikobewertung >> ASIL
Sicherheitsfunktionen + ASILSicherheitskonzept
Systementwicklung,Verifikation & Validierung
Entwicklung
Sicherheits-Anforderungen
Gefahrenanal. &Risikobewertung
System-Definition
© IABG 2010IABG IK13 15.07.2010
{ , }Sicherheit ist eine integrale Sicherheit ist eine integrale Produkteigenschaft!Produkteigenschaft!
• Safety ist nicht hineinargumentierbar• Safety ist nicht hineintestbar
etc.etc.
Begutachtung durch unabhängige Stelle
Besondere Sicherheitsaktivitätenz.B. Sicherheitsanalysen
SafetyCase
Assessment /Zertifizierung
Entwicklung
Wie ‚implementiert‘ man Funktionale Sicherheit? Verzahnung von Funktionaler Sicherheit und Funktionsentwicklung
Prozessumsetzung geschieht zurzeitnoch mit unterschiedlichem Niveau� Aufhebung der sich daraus
ergebenden Trennung der Abläufe
Management
Funktions-Entwicklung
FunktionaleSicherheit
© IABG 2010
Designansätze werden zusammengeführt� Funktionale Sicherheit
� Top-Down und eher schwergewichtig
� Funktionsentwicklung� Bottom-Up und ergebnisorientiert
IABG IK13 15.07.2010
Automobile Funktionale SicherheitGestern bis heute
<2002 Vorbild: Luft- und RaumfahrtSafety 'konservativ':- Sicherheit mit jedem Aufwand
2002 Vorbild: Anlagenbau (Erscheinen der IEC 61508)
2003+ Auseinandersetzung mit FuSi-Technologie
© IABG 2010
2010 ISO/FDIS 26262 (final draft international standard)• Angepasster Lebenszyklus (Musterzulassung, Produktion, …)
• Verteilte Entwicklung
• ASIL-Skala, passende Methoden (GuR, Dekomposition, …)
• …
heute Praxis: Etablierung der ISO 26262
Safety 'automotive':- Sicherheit kostengünstig durch intelligente Konzepte (lean FuSi)
Juli 2010ISO26262 Praxis
Steer-by-wire Anforderung
� verteilt
� fehlertolerant
� sicherheitsgerichtet (ASIL D)
� "fail operational"
Lösung der Luftfahrt
Moderne Fahrer-Assistenz-Systeme Intelligentes Sicherheitskonzept, Beispiel: steer-by-wire
E/ETeilsystem
MechanischeRückfallebene
sichererUmschalter
© IABG 2010
� Mehrfache Redundanz (2oo3+)
� Teure Lösung, da Redundanzen in� Sensoren, Steuerungen, Aktuatoren
� Energieversorg., Kommunikation, …
Lösung Automotive
� E/E-System: fail silent (nicht-redundantes, steer-by-wire Wertschöpfung)
� Mechanische Rückfallebene: fail operational (einfache Realisierung, sicherer Notlauf)
� Gesamtsystem: fail operational (mit sicherem Umschalter)
Juli 2010ISO26262 Praxis
Mechanik ist nicht durch die ISO 26262 abgedeckt!
Automobile Funktionale Sicherheit Momentaufnahme der Fähigkeitsgrade im Markt
Einige stehen noch am Anfang
Erste Unternehmen sehr gut(in einzelnen Abteilungen)
Es gibt ausgeprägteKompetenz-Führer im Markt
Abd
ecku
ng im
Mar
ktse
gmen
t Aut
omob
il
100%
die meisten Firmendie meisten Firmen
© IABG 2010
FuSi-Umsetzung steigt
� Erste nicht-Nominierungen wegen unzureichender FuSi-Prozesse
� Erste Eskalation bei nicht-Erfüllung von FuSi-Anforderungen(Entwickler-Camps!)
� Existenzgefährdende Konsequenzen für Hersteller
Mar
ktse
gmen
t Aut
omob
il
FuSiFähigkeit
ausgesuchte Abteilungen
in ausgesuchten Firmen
ausgesuchte Abteilungen
in ausgesuchten Firmen
Juli 2010ISO26262 Praxis
Que
lle: I
AB
G
Automobile Funktionale SicherheitZusammenfassung / Ausblick
Mit der ISO26262 setzt sichdie Automobilbranche einen eigenen Standardfür die Entwicklung sicherheitsrelevanter E/E-Systeme
Steigende Anwendung und Etablierung in der gesamten Branche� Safety wird Teil des Entwicklungsalltags (Auflösung der FuSi-Parallelwelt)
� FuSi-Wissensniveau und Praxiserfahrung steigen
� Es entstehen automobilspezifische Konzepte und Lösungen
© IABG 2010
� Es entstehen automobilspezifische Konzepte und Lösungen
Zukunft: Kombination von Funktionaler Sicherheit und weiteren Attributen� Reifegrade: z.B. ISO 26262 + Automotive SPICE
� Dependability = Safety + Security
� Funktionale Sicherheit gehört in das Portfolio undRisikomanagement jeder Firma der Automobilbranche
IABG IK13 15.07.2010
Kontakt
I A B G
IndustrieanlagenBetriebsgesellschaft mbH
Einsteinstr. 20
D-85521 Ottobrunn
© IABG 2010ISO26262 Praxis
� Dr. Henrik J. Putzer, IK13Programm Manager "Safety & Compliance"[email protected]+49-89-6088-2118
D-85521 Ottobrunn
Germany
www.iabg.de
Juli 2010