ISO 26262: Funktionale Sicherheit elektrischer/elektronischer Systeme in Kraftfahrzeugen

Um das Risiko potenziell gefährlichen Fehlfunktionen von elektrischen und elektronischen Kraftfahrzeugkomponenten zu minimieren, wurde 2011 die Normenreihe ISO 26262 veröffentlicht. ISO 26262 basiert auf IEC 61508, der Grundnorm für funktionale Sicherheit (kurz FuSi, engl. FuSa) elektrischer und elektronischer Systeme. Unter besonderer Berücksichtigung der Anforderungen im Automobilbereich liefert sie ein etabliertes Vorgehensmodell für die Entwicklung und Produktion von Serienfahrzeugen.

 

Inhalt

 

Wen betrifft die Norm ISO 26262?

Der Fokus der Norm liegt auf elektronischen und elektrischen Fahrzeugkomponenten und -systemen. Für mechanische, hydraulische oder pneumatische Teile gilt sie nicht. Übergeordnetes Ziel ist die Reduzierung von Risiken bei Fahrzeugen, die durch Fehlfunktionen von Fahrzeugkomponenten ausgelöst werden können.
Dementsprechend betrifft die Normenreihe sowohl Zulieferer als auch Kraftfahrzeughersteller (OEMs); für beide gelten die Anforderungen und Empfehlungen ohne Unterschied.

Welche Fahrzeuge sind von der ISO 26262 betroffen?

Während die erste Fassung der ISO 26262 sich auf Serienfahrzeuge mit einer Gesamtmasse von höchstens 3,5 t beschränkte, gilt die aktuelle zweite Ausgabe (ISO 26262:2018, im Folgenden kurz: ISO 26262) auch für Lkw, Busse und Anhänger (sofern diese mit elektronischen Steuergeräten ausgerüstet sind). Auch Krafträder sind seit 2018 von der Norm betroffen – definitionsgemäß sind dies Motorräder mit nicht mehr als 800 kg Gesamtmasse.

Dagegen sind Mopeds, Prototypen, Rennfahrzeuge und Sonderfahrzeuge, die in Kleinstserien oder Einzelanfertigung hergestellt werden (z. B. Spezialfahrzeuge für Menschen mit Behinderungen) von der Norm nicht betroffen. Auch Komponenten und Systeme, die vor 2011 entwickelt wurden, sind von der Anwendung der Norm ausgeschlossen.

 

Was regelt die ISO 26262?

Die Normenreihe ISO 26262 betrachtet den gesamten Sicherheitslebenszyklus für Fahrzeuge – von der Entwicklung und Produktion über den Betrieb und Service bis zur Stilllegung. Insbesondere enthält sie dementsprechende Vorgaben und Empfehlungen für den gesamten Entwicklungsprozess, vom ersten Konzept bis hin zur Umsetzung.
In insgesamt 12 Teilen wird zunächst ausgeführt, wie Systeme und Komponenten hinsichtlich ihrer Risiken und Gefahren bewertet werden. Auf Grundlage der identifizierten und dokumentierten Risikoklassen werden dann die notwendigen Sicherheitsanforderungen (ASILs, Automotive Safety Integrity Levels – siehe unten) dargestellt und beschrieben, wie diese mit einem hinnehmbaren Restrisiko erreicht werden. Darüber hinaus stellt die Norm Verifikations- und Validierungsmaßnahmen zur Gewährleistung des geforderten Sicherheitsniveaus bereit.

Kurzer Überblick über die einzelnen Teile der Normenreihe der ISO 26262

Teil 1: Erklärung der verwendeten Begriffe und Abkürzungen

Teil 2: Spezifikation der Anforderungen an das funktionale Sicherheitsmanagement während der verschiedenen Phasen des Sicherheitslebenszyklus. Zudem werden die organisatorischen Voraussetzungen für eine Entwicklung gemäß dem jeweils geforderten ASIL beschrieben.

Teil 3: Anforderungen für die Konzeptphase an Gefahrenanalyse und Risikobewertung (HARA, Hazard Analysis and Risk Assessment) sowie ein funktionales Sicherheitskonzept.

Teil 4: Beschreibung der Entwicklungsprozesse auf Systemebene mit einem dem V-Modell entsprechenden Vorgehen (gilt ebenso für Teile 5 und 6). Für die einzelnen Abschnitte werden Vorgehensweisen und Arbeitsergebnisse definiert. Das System (Fahrassistenzsystem, Battery-Management-System etc.) wird dabei in Subsysteme zerlegt und je nach ASIL-Einstufung werden Methoden zur Umsetzung empfohlen

Teil 5: Beschreibung des Entwicklungsprozesses auf Hardwareebene mit besonderem Fokus auf Qualifizierung der Hardware hinsichtlich Zuverlässigkeit und Ausfallsicherheit sowie der Integration in das Gesamtsystem.

Teil 6: Beschreibung des Entwicklungsprozesses auf Softwareebene, Bestimmung der funktionalen Anforderungen und Ressourcennutzung sowie Vorhersage des Softwareverhaltens bei Fehlern und Überlastung mit dem Ziel der Vermeidung systematischer Fehler. Durch Verwendung qualifizierter Software kann dabei die Entwicklung vereinfacht und verkürzt werden.

Teil 7: Beschreibung der Anforderungen für Produktion, Betrieb, Wartung, Reparatur und die Stilllegung sicherheitsrelevanter Systeme und Komponenten sowie der diesbezüglichen Planungsaktivitäten.

Teil 8: Anforderungen für Prozesse, die nicht für die funktionale Sicherheit entwickelt wurden, diese aber unterstützen – z. B. das Anforderungs-, Konfigurations- und Änderungsmanagement oder das Dokumentationsmanagement.

Teil 9: Regeln zur Separierung sicherheitsrelevanter Funktionen sowie Kriterien zur Vermeidung   gegenseitiger Beeinflussung. Darüber hinaus werden Sicherheitsanalysen abhängiger Ausfälle („Cascading failures“, „Common cause failures“) beschrieben.

Teil 10: Überblick über die Normenreihe, Erläuterungen und weiterführende Information zu verschiedenen Aspekten des Standards. Dieser Teil ist nicht normativ, sondern soll das Verständnis der übrigen Teile erleichtern.

Teil 11: Der Teil ist ebenso wie Teil 10 informativ (nicht normativ) und enthält mögliche Interpretationen anderer Teile der ISO 26262 in Bezug auf die Halbleiterentwicklung.

Teil 12: Besondere Anforderungen bzw. Anpassung der Anforderungen an Krafträder, u. a. bzgl. Gefahren- und Risikoanalyse, Fahrzeugintegration und Sicherheitsvalidierung.

ASIL-Klassifizierung

ISO 26262 setzt die Ermittlung des ASIL (Automotive Safety Integrity Level bzw. Sicherheitsanforderungsstufe) an den Anfang jedes Entwicklungsprozesses. Für jedes identifizierte mögliche Risiko wird dabei die Schwere der Auswirkung (Severity – Gefährdung des Nutzers oder der Umgebung), die Eintrittswahrscheinlichkeit (Exposure – Häufigkeit der entsprechenden Fahrsituation) und die Beherrschbarkeit des Fehlers z. B. durch den Fahrer (Controllability – Steuerbarkeit) eingeschätzt und in jeweils vier Stufen (S0 bis S3, E1 bis E4, C0 bis C3) eingeteilt.
Aus der Addition der Einstufungen ergibt sich eine Sicherheitsanforderungsstufe von ASIL A bis ASIL D, wobei ASIL D das höchste Risiko und damit einhergehend die höchste Anforderungsstufe darstellt, die beispielsweise für Bremssteuergeräte gilt. Ist die Gefährdung dagegen so gering, dass die Maßnahmen eines normalen Qualitätsmanagements ausreichend sind, muss die ISO nicht angewandt werden.

 

Bezugsquellen

Alle Teile der ISO 26262-1:2018-12 können beim Beuth-Verlag oder direkt bei der International Organization for Standardization (ISO) erworben werden.

 

Entwicklung funktional sicherer Kraftfahrzeug-Systeme nach ISO 26262

NewTec unterstützt Hersteller und Zulieferer bei der Entwicklung funktional sicherer elektronischer und elektrischer Systeme und Komponenten für Kraftfahrzeuge gemäß ISO-26262-Anforderungen. Als Safety-Spezialisten mit jahrzehntelanger Entwicklungserfahrung bieten wir Beratung und Coaching rund um Embedded Automotive Safety und übernehmen auf Wunsch u. a. Requirements Engineering oder ganze Safety-Engineering-Projekte. Darüber hinaus können mit unseren ISO 26262 konformen Plattformen wie NTBatteryManagementSystem oder NTMicroDrive Entwicklungsaufwand und -kosten deutlich reduziert werden.

Fragen? Kontaktieren Sie uns: Kontakt

Oder rufen Sie uns an unter +49 7302 9611-0

 

 
DEUTSCHENGLISH中国