Die ISO-26262-Norm wurde im November 2011 veröffentlicht und definiert Anforderungen an elektronische und elektrische sicherheitsrelevante Systeme in Automobilen. Seit dem müssen Unternehmen diese Anforderungen bei der Entwicklung berücksichtigen. Software-Firmen haben damit begonnen ihre Tools für den Einsatz beim Kunden vorher der Norm entsprechend zu qualifizieren. Das gilt auch für ihre Embedded-Software, die die Kunden für ihre Applikation benötigen. Beides hilft Design-Teams die Kompatibilität mit ISO 26262 sicherzustellen, wirft aber auch neue Fragen auf. Dabei geht es insbesondere um die hohe Komplexität des Design-Flows beim Entwickeln von Automobilelektronik und den damit verbundenen Aufgaben für die Entwickler. Mentor Safe ist ein Programm von Mentor Graphics, die Systementwickler dabei unterstützt, die Vorgaben von ISO 26262 einfacher und schneller zu erreichen.
Die Norm ISO 26262 definiert Kriterien für die an der Entwicklung eines Endprodukts beteiligten Designs-Tools oder kompletten Toolketten – inklusive Methoden, diese einzusetzen oder zu verknüpfen.
Bei dem Produkt kann es sich um eine sicherheitskritische Steuereinheit (ECU) im Automobil handeln, die beispielsweise für das Bremssystem verantwortlich ist oder eine Anzeige im Armaturenbrett für kritische Informationen, wie etwa Geschwindigkeit und Treibstoff.
Möchte ein Auto-Zulieferer die Designs gemäß den ISO-26262-Anforderungen entwickeln, dann muss das Entwicklungsteam für jeden Design-Schritt seine Tool-Methodologie katalogisieren. Danach müssen folgende Aspekte beurteilt werden:
Der Tool Impact (TI) – Dieser Parameter gibt die Wahrscheinlichkeit wieder, ob das Tool oder die Toolkette für die entsprechende Aufgabe entweder Fehler injiziert oder entsprechende Fehler nicht erkennt.
Die Tool Error Detection (TD) – Dieser Parameter ist ein Maß dafür, inwieweit das Tool oder die Toolkette verhindert, das Fehler injiziert beziehungsweise ob entsprechende Fehler erkannt werden. Bei der TD handelt es sich um eine subjektive Klassifizierung, welche einer entsprechenden Interpretation bedarf.
An dieser Stelle ist zu beachten, dass der betreffende Design-Flow sowohl die Fehlererkennung des Tools als auch alle Prozesse in Bezug auf Nutzung und Ergebnisse des Tools umfasst. Wird ein Schritt im Design-Flow als TCL1 (Tool Confidence Level 1) erkannt, dann ist kein weiterer Evaluierungsschritt erforderlich.
Es gibt drei mögliche Ergebnisse, die ein Design-Team bei der Evaluierung eines Tools für einen Automotive-IC oder ein System erhalten kann:
1) Wird festgestellt, dass nach der Analyse die Anwendung des Tools oder der Toolkette mit TCL1 eingestuft werden kann, dann ist keine weitere Qualifizierung erforderlich.
2) Aufgrund fehlender Information, wie der Anbieter seine Tools entwickelt und verifiziert, kann eine Einstufung in TCL2 oder TCL3 für den Anwendungsfall gegeben sein.
3) Das Design-Team kann den Anwendungsfall für das Tool auch vorsichtshalber mit TCL2 oder TCL3 einstufen.
Wenn ein Anwendungsfall mit TCL2 oder TCL3 eingestuft wird, dann ist eine Qualifizierung erforderlich. Dafür müssen Maßnahmen durchgeführt werden, die im Standard spezifiziert sind und für das Design-Team oft mit einem großen Aufwand verbunden sind.
Mentor Safe bietet alle erforderlichen Informationen, um den jeweiligen Anwendungsfall sauber zu klassifizieren. Insbesondere bei einer Einstufung in TCL2 oder TCL3 werden alle notwendigen Qualifizierungsdaten geliefert, um den Einsatz des Tools zu rechtfertigen. Außerdem bietet Mentor Graphics dem Design-Team Unterstützung an, Unsicherheit in Bezug auf andere im Workflow verwendete Werkzeuge zu reduzieren, um das TCL für diese auf TCL1 zu senken.
Embedded-Software
Software-Tools werden von Entwicklungsteams genutzt, um die entsprechenden Produkte zu entwickeln und umzusetzen. Embedded-Software dagegen wird direkt eingesetzt, um die Sicherheitsziele eines Produktes zu erfüllen und muss daher, falls sie in einem sicherheitsrelevanten Produkt eingesetzt wird, nach ISO 26262 entwickelt werden.
ISO 26262 hat das Konzept des SEooCs (Safety Element out of Context) kreiert. Viele Software-Anbieter bieten daher ihre Software-Komponenten als Software-SEooCs an. Das ist eine Software-Komponente, die die funktionalen Sicherheits-Anforderungen gemäß den ISO-26262-Vorgaben erfüllt. In vielen Anwendungsfällen weiß der Software-Anbieter vorher nicht, welche Anforderungen an seine Software für ein bestimmtes Design sicherheitsrelevant sein werden. Daher ist davon auszugehen, dass alle Anforderungen sicherheitsrelevant sind. Genau nach diesem Prinzip verfährt Mentor Graphics bei seiner sicherheitsrelevanten VSTAR- und Nucleus-SafetyCert-Software.
Zu den wesentlichen Beiträgen bei der Bereitstellung einer Embedded-Software als SEooC gehört der Nachweis, dass sie entsprechend den ISO-26262-Vorgaben entwickelt wurde. Außerdem ist es erforderlich, dass die Embedded-Software mit ausreichender Dokumentation geliefert wird. Sie muss sowohl die erfolgreiche Integration der Komponenten erlauben, als auch mögliche Einschränkungen bei der Nutzung umfassen, die zu sicherheitsrelevanten Problemen führen können.
Diese Informationen werden üblicherweise in einem Safety Case zur Verfügung gestellt. Dieses beinhaltet den Nachweis einer kompatiblen Entwicklung als auch ein Safety Manual, welches die Integrationsanforderungen für eine erfolgreiche Anwendung der Software beschreibt. Durch diese Maßnahmen garantiert Mentor Safe, dass ein verfügbarer Safety Case kompatibel zu ISO 26262 ist.