ISO 26262 Funktionale Sicherheit
Wir setzen mit Ihnen den Standard pragmatisch, schnell und kompetent um.
Wir helfen Ihnen diesen Standard einzuführen und umzusetzen
Was ist Ziel und Inhalt der Norm?
ISO 26262 Funktionale Sicherheit
Die ISO 26262 („Road vehicles – Functional safety“) ist eine ISO-Norm für sicherheitsrelevante elektrische/elektronische Systeme in Kraftfahrzeugen. Die ISO 26262 definiert ein Vorgehensmodell zusammen mit geforderten Aktivitäten und Arbeitsprodukten („work products“) sowie anzuwendenden Methoden in Entwicklung und Produktion.
Die Umsetzung der Norm soll die funktionale Sicherheit eines Systems mit elektrischen/elektronischen Komponenten im Kraftfahrzeug gewährleisten. Damit ist die Norm eine Anpassung der IEC 61508 an die spezifischen Gegebenheiten im Automobilbereich. Im Fokus der Norm liegen Fahrzeuge bis 3500 kg zulässiger Gesamtmasse,[1] nicht jedoch Prototypen oder spezielle Fahrzeuge wie beispielsweise Umbauten für Behinderte. Die Norm ist nicht anwendbar auf Systeme, die entwickelt wurden, bevor sie in Kraft gesetzt wurde. Die Anwendung der Norm ist freiwillig, aber in der Praxis verlangen immer mehr Automobilhersteller von ihren Zulieferern die Anwendung in neuen Projekten.
Nach einem längeren Vorlauf (Teile 1–9 im April 2011 als Final Draft International Standard (FDIS) veröffentlicht) wurde die Norm mit Ausnahme von Teil 10 am 14. November 2011 in Kraft gesetzt.[2] Die ISO 26262 wird von der ISO-Arbeitsgruppe „ISO TC22/SC3/WG16“ bearbeitet. Da die Erstellung von Teil 10 ("informative guideline") längere Zeit in Anspruch nahm, wurde er erst später, am 1. August 2012, veröffentlicht. Eine deutschsprachige Version ist nicht geplant.
Seit Dezember 2018 ist die "Second Edition" verfügbar, die beim Zitieren als ISO 26262:2018 bezeichnet wird. Die neue Version enthält zusätzlich die Teile 11 und 12 (siehe Abschnitt Inhalt).
(Quelle Wikipedia)
Die ISO 26262 besteht aus bisher zehn, nun zwölf Teilen, die folgende Inhalte abdecken:
- Vokabular
- Management der funktionalen Sicherheit
- Konzeptphase
- Produktentwicklung: Systemebene
- Produktentwicklung: Hardwareebene
- Produktentwicklung: Softwareebene
- Produktion, Betrieb und Außerbetriebnahme
- Unterstützende Prozesse
- ASIL- und sicherheitsorientierte Analysen
- Guideline (nur informativ)
- Leitlinien der Anwendung der ISO 26262 auf Halbleiter (erst seit der zweiten Ausgabe enthalten)
- Anwendung der ISO 26262 für Krafträder (erst seit der zweiten Ausgabe enthalten)
Teil 1 erklärt die Begriffe und Abkürzungen, die in der Normenreihe verwendet werden.
Teil 2 beinhaltet die geforderten Managementtätigkeiten während
der unterschiedlichen Phasen des Sicherheitslebenszyklus eines Systems,
welches E/E-Subsysteme (Elektrik/Elektronik-Subsysteme) beinhaltet. Des
Weiteren werden die organisatorischen Voraussetzungen genannt, die
erfüllt sein müssen, damit das zu entwickelnde System gemäß dem
geforderten ASIL (automotive safety integrity level) entwickelt werden kann.
Teil 3 enthält Anforderungen bezüglich der Durchführung einer Gefährdungsanalyse und Risikoabschätzung (hazard analysis and risk assessment). Dazu müssen zunächst die potentiellen Gefährdungen (hazards)
des Systems identifiziert werden. Dies geschieht durch Betrachtung der
Fehlfunktionen des untersuchten Systems in spezifischen Fahrsituationen.
Anschließend wird jede Gefährdung mit einer Sicherheitsanforderungsstufe von A bis D klassifiziert bzw. als nicht sicherheitsrelevant eingeordnet (quality management – QM). Anders als zum Beispiel in der IEC 61508
geschieht die Risikoanalyse in der ISO 26262 mittels einer
festgelegten, qualitativen Methodik. Dazu muss für jede identifizierte
Gefährdung einzeln die Schwere der Auswirkung (severity – S), die Häufigkeit der Fahrsituation (exposure – E) und die Beherrschbarkeit der Fehlfunktion in der jeweiligen Fahrsituation z. B. durch den Fahrer (controllability – C)
abgeschätzt werden. Aus einer vorgegebenen Tabelle lässt sich dann für
jede Gefährdung die Einstufung QM oder ASIL A bis D ablesen.
Mit steigendem ASIL steigen auch die Anforderungen an die
Sicherheit, die in den nachfolgenden Teilen spezifiziert sind. An
Gefährdungen der Klasse QM sind keine Anforderungen gestellt, die über
das übliche Qualitätsmanagement des Systemherstellers hinausgehen, und ihre Beherrschung kann deshalb durch eine erfolgreiche Umsetzung einer Qualitätsmanagementnorm, wie zum Beispiel der ISO 9001 oder der ISO/TS 16949 nachgewiesen werden.
Die Teile 4, 5 und 6 behandeln die Entwicklungsprozesse auf Systemebene, Hardwareebene und Softwareebene in Anlehnung an geschachtelte V-Modelle
und definieren für die einzelnen Abschnitte Vorgehensweisen und
Arbeitsergebnisse. Für die umzusetzenden Anforderungen werden Methoden
aufgelistet, die je nach ASIL als optional, recommended (empfohlen) oder highly recommended
(dringend empfohlen) eingestuft werden. Es können jedoch auch andere,
nicht genannte Methoden verwendet werden, wenn deren Wirksamkeit zur
Erfüllung der jeweiligen Anforderung begründet werden kann.
Teil 7 beinhaltet das prinzipielle Vorgehen beim Erstellen eines
Produktions- und Installationsplans für sicherheitsrelevante Systeme, um
die Anforderungen an die funktionale Sicherheit beim Produktions- und
Installationsprozess sicherzustellen, sowie die Anforderungen, die den
Betrieb, die Wartung, die Reparatur und die Stilllegung unter der
Einhaltung aller Sicherheitsaspekte gewährleisten sollen.
Teil 8 beinhaltet sowohl die Beschreibung und Zuordnung von
Verantwortlichkeiten innerhalb einer verteilten Entwicklungsumgebung als
auch der richtigen Spezifikation der Anforderungen an den gesamten
Sicherheitslebenszyklus. Außerdem werden das Konfigurations- und
Änderungsmanagement sowie das richtige Durchführen von Verifikationen
und Dokumentationen erläutert. Dieser Teil der Norm beinhaltet ebenfalls
jeweils einen Abschnitt zur Reduzierung von Risiken, die von
Softwarewerkzeugen und Software- sowie Hardwarekomponenten herrühren.
Darunter fallen beispielsweise Risiken, die durch Fehler im verwendeten
Compiler entstehen.
Teil 9 beinhaltet die Regeln der ASIL-Dekomposition und der
Kritikalitätsanalyse. Weiterhin enthält Teil 9 einen Abschnitt, der die
Durchführung von Analysen abhängiger Ausfälle erläutert, um "Common
Cause"-Fehler oder kaskadierende Fehler zu identifizieren, sowie einen
Abschnitt, der die unterschiedlichen Analyseverfahren zum Erkennen von
sicherheitskritischen Fehlern und Ausfällen innerhalb eines E/E-Systems
aufzeigt.
Teil 10 beinhaltet Anwendungsbeispiele, Erläuterungen und weiterführende Information zu einigen Bereichen des Standards.
(Quelle Wikipedia)
(Quelle Wikipedia)
Bezugsmöglichkeiten:
Beuth -Verlag
Beuth -Verlag