Was ist ISO 26262?

ISO 26262, „Road Vehicles – Functional Safety“ (Kraftfahrzeuge – funktionale Sicherheit), ist eine internationale Sicherheitsnorm, die von der International Standards Organization (ISO) erstellt wurde und Richtlinien für die sichere Konstruktion und Entwicklung elektrischer und/oder elektronischer (E/E) Systeme in Kraftfahrzeugen enthält. Die erste formalisierte Fassung erfolgte 2011 und wurde 2018 überarbeitet.

ISO 26262 ist keine formale Verordnung. Stattdessen werden branchenspezifische, sicherheitsbezogene Richtlinien festgelegt, die Hersteller von Erstausrüstungen (OEMs) und ihre Zulieferer bei der Entwicklung elektrischer und elektronischer Systeme in Fahrzeugen mit Vertrauen befolgen können.

Insgesamt fördert die Norm das Vertrauen der wichtigsten Interessengruppen in der Automobilindustrie und der Verbraucher. Sie leitet sich von der Norm IEC 61508 ab, die von der Internationalen Elektrotechnischen Kommission entwickelt wurde.

Die Fahrzeugelektronik hat einen langen Weg zurückgelegt. Seit den ersten Transistorradios der 1950er Jahre haben wir die Entwicklung der elektronischen Zündsysteme in den 1960er Jahren, Motorsteuergeräte in den 1970er Jahren, Antiblockiersysteme in den 1980er Jahren, Infotainment-Systeme in den 1990er Jahren und fortschrittlichen Fahrerassistenzsysteme in den 2000er Jahren erlebt.

Die Kosten für Autoelektronik als Prozentsatz der Gesamtkosten für Fahrzeuge sind von 5 % im Jahr 1970 auf 35 % im Jahr 2010 gestiegen, was bis 2030 voraussichtlich 50 % erreichen wird. Heute sind bis zu 3.000 Halbleiterchips in modernen Fahrzeugen installiert. Dies spiegelt eine allgemeine Migration von Systemfunktionen von mechanischen auf mechatronische Systeme wider, die durch Verbesserungen bei Leistung und Kosten gerechtfertigt ist.

So zeigte beispielsweise der Einsatz von Mechatronik in Motorsteuerungen, die zur Optimierung der Motorleistung während des Betriebs Berechnungen durchführen, den Fahrzeugherstellern, was mit digitaler Technologie möglich ist.

Tatsächlich können digitale Sensoren verschiedene Parameter wie Drosselklappenstellung, Kurbelwellenstellung, Luftmassendurchsatz, Temperatur und Sauerstoffkonzentration in Abgasen überwachen, um den Kraftstoffverbrauch in Fahrzeugen deutlich zu senken.

Dies zeigt, dass mit E/E-Systemen erheblichen Verbesserungen der Fahrzeugfunktionen erzielt werden können, die mit mechanischen Systemen allein nicht zu erreichen wären. In modernen Fahrzeugen versorgen mechatronische Systeme eine Reihe von Funktionen, darunter:

• Servolenkung
• Fortschrittliche Fahrerassistenzsysteme (ADAS)
• Antiblockiersystem 
• Automatikgetriebe (mit Controller-Chips, Drehzahlsensoren und Halbleiter-Leistungsschaltern, um anspruchsvolle Funktionen wie Schaltvorgänge je nach Gelände zu ermöglichen)

Um die Risiken der Gefahren von E/E-Systemen zu minimieren, formalisierte die International Standards Organization daher eine Reihe umfassender Ziele und Anforderungen für die funktionale Sicherheit – angepasst an die funktionale Sicherheitsnorm IEC 61508 für elektrische/elektronische Systeme in der Automobilindustrie –, um den Besonderheiten der Automobilindustrie gerecht zu werden.

Anforderungen an die funktionale Sicherheit

Die Sicherheitsanforderungen nach ISO 26262 decken den gesamten Lebenszyklus eines Fahrzeugs ab, einschließlich Tätigkeiten im Zusammenhang mit Entwicklung, Produktion, Betrieb, Wartung und Stilllegung.

Die erste Ausgabe von ISO 26262 wurde 2011 veröffentlicht (ISO 26262:2011), die sich mit der funktionalen Sicherheit von E/E-Systemen befasst, die in „Serien-Pkw“ mit einem maximalen Bruttogewicht von 3.500 kg eingebaut sind. Die überarbeitete Ausgabe wurde 2018 (ISO 26262:2018) veröffentlicht, um alle Kraftfahrzeuge mit Ausnahme von Mopeds abzudecken.

Wie IEC 61508 ist auch ISO 26262 ein risikobasierter Standard, der eine qualitative Bewertung der Gefahren durch Ausfälle von E/E-Systemen ermöglicht.

Die Ziele der ISO 26262 sind:

• Funktionale Sicherheit: ISO 26262 beschreibt funktionale Sicherheitsaspekte, die während des gesamten Entwicklungsprozesses anwendbar sind, einschließlich Anforderungsspezifikation, Design, Implementierung, Integration, Verifizierung, Validierung und Konfiguration. Die Norm zielt darauf ab, fehlerhafte Situationen zu erkennen und zu definieren, wie darauf zu reagieren ist, um die Verkehrsteilnehmenden vor Verletzungen zu schützen, die durch Fehler in der Fahrzeugelektronik und -Software verursacht werden.
• Lebenszyklus der Fahrzeugsicherheit: ISO 26262 bietet einen umfassenden Rahmen, der den gesamten Lebenszyklus der Fahrzeugsicherheit abdeckt, einschließlich Management, Entwicklung, Produktion, Betrieb, Wartung und Stilllegung. Sie unterstützt die maßgeschneiderten Aktivitäten während dieser Phasen, um sicherzustellen, dass die Sicherheit während des gesamten Lebenszyklus des Fahrzeugs erhalten bleibt.
• Risikomanagement: ISO 26262 minimiert die Risiken im Zusammenhang mit der Konstruktion und Entwicklung von E/E-Kfz-Systemen, um Gefahren und potenziell lebensbedrohliche Ausfälle zu vermeiden. Sie soll ein akzeptables Restrisikoniveau erreichen und sicherstellen, dass die Systeme so sicher wie möglich sind. Die Norm basiert auf einem risikobasierten Ansatz, indem Risikoklassen festgelegt werden, die als „Automotive Safety Integrity Levels“ (ASILs) bezeichnet werden. Diese tragen dazu bei, die Sicherheitsanforderungen festzulegen, um ein akzeptables Restrisikoniveau zu erreichen.
• Validierung und Bestätigung: Die Norm enthält Anforderungen an Validierungs- und Bestätigungsmaßnahmen, um sicherzustellen, dass ein ausreichendes und annehmbares Sicherheitsniveau erreicht wird. Sie unterstreicht die Bedeutung der Prüfung und Validierung von Sicherheitsmechanismen sowohl auf System- als auch auf Fahrzeugebene.

Die Integration von Disziplinen wie Mechanik, Elektrik, Elektronik und Software erhöht das Risiko von Systemausfällen in Fahrzeugen. Daher bietet ISO 26262 umfassende Leitlinien zu Systemanforderungen und -Prozessen zur Minderung dieser Risiken. 

Die Norm:

• Beschreibt einen umfassenden Sicherheitslebenszyklus, der Sicherheitsüberprüfungen in mehreren Phasen umfasst, vom Konzept bis zur Stilllegung
• Konzentriert sich auf die funktionale Sicherheit elektrischer und elektronischer Systeme (E/E) und befasst sich gleichzeitig mit der Integration dieser Systeme in andere Fahrzeugsysteme, um die Gesamtsicherheit des Fahrzeugs zu gewährleisten
• Betont, dass zur Erreichung der funktionalen Sicherheit sowohl Aktivitäten zur funktionalen Entwicklung (wie Anforderungsspezifikation, -Design und Implementierung) als auch qualitätsorientierte Aktivitäten (wie Verifizierungs-, Validierungs- und Bestätigungsmaßnahmen) erforderlich sind.

Im Folgenden gibt es eine Aufgliederung der 12 Abschnitte, aus denen die Norm ISO 26262 besteht:

Teil 1: Vokabular

Teil 1 enthält Begriffe, Definitionen und Abkürzungen, die in der Norm angewendet werden, wobei die Definitionen von „Fault“ [Störung], „Error“ [Fehler] und „Failure“ [Ausfall] sorgfältig beachtet werden.

Teil 2: Management der funktionalen Sicherheit

Teil 2 enthält organisatorische Anforderungen, die von denjenigen, die sicherheitsrelevante Tätigkeiten durchführen, zu gewährleisten sind. 

Teil 3: Konzeptphase

In Teil 3 wird beschrieben, wie die Gefahrenanalyse und Risikobeurteilung (HARA)  in den frühen Phasen der Produktentwicklung für jedes integrierte Element (System oder Teilsystem) durchzuführen ist. Außerdem wird beschrieben, wie die erkannten Gefahren durch eine funktionale Architektur bewältigt werden können.  

Teil 4: Produktentwicklung auf Systemebene

Teil 4 behandelt das technische Architekturdesign, die Elementintegration und Tests auf Systemebene. In dieser Entwicklungsphase führen Ingenieur*innen häufig eine Fehlerbaumanalyse (FTA) und Fehlermöglichkeits- und Einflussanalyse (FMEA) durch.

Teil 5: Produktentwicklung auf Hardwareebene

Teil 5 behandelt Hardwaredesign, Integration und Verifizierung, einschließlich der Bewertung von Hardwarekennzahlen.

Teil 6: Produktentwicklung auf Softwareebene

Teil 6 befasst sich mit dem Entwurf von Softwarearchitekturen und -Einheiten, der Implementierung, Integration und Verifizierung. 

Teil 7: Produktion, Betrieb, Wartung, Stilllegung

Teil 7 beschreibt den Produktionsprozess für sicherheitsrelevante Systeme und Elemente. Er enthält auch Details zu Betrieb, Wartung und Stilllegung dieser Elemente.

Teil 8: Unterstützende Prozesse

Teil 8 beschreibt die Implementierung von Unterstützungsprozessen während des gesamten Sicherheitslebenszyklus. Er beschreibt beispielsweise Anforderungen an das Änderungsmanagement, das Dokumentationsmanagement sowie die Anforderungen an die Bewertung und Qualifizierung von Tools.

Teil 9: ASIL-orientierte und sicherheitsorientierte Analysen

Teil 9 enthält Anforderungen an die ASIL-Zersetzung und Anforderungen an Sicherheitsanalysen (einschließlich der Analyse abhängiger Ausfälle und der Kriterien für die Koexistenz von Elementen).

Teil 10: Richtlinien zu ISO 26262

Teil 10 enthält zusätzliche Erläuterungen zu verschiedenen Teilen der ISO 26262.

Teil 11: Richtlinien zur Anwendung der Norm auf Halbleiter

Teil 11 befasst sich mit der Entwicklung, Herstellung und dem Betrieb von Halbleiterbauteilen. Er beschreibt verschiedene Halbleitertechnologien und Anwendungsfälle und bietet Anleitungen zur Durchführung bestimmter Aktivitäten im Sicherheitslebenszyklus.

Teil 12: Anpassung von ISO 26262 für Motorräder

Wie der Titel des Abschnitts schon sagt, beschreibt Teil 12 die Anpassung von ISO 26262 für Motorräder.

Obwohl sie nicht gesetzlich vorgeschrieben ist, ist ISO 26262 eine wichtige Sicherheitsnorm, die Sicherheit für die Integration elektrischer und elektronischer Systeme in Fahrzeuge (während ihrer gesamten Lebensdauer) bietet.

Ferner wird eine zuverlässige Methodik für die Risikobeurteilung mittels ASILs eingeführt. Daher ist ISO 26262 eine umfassende Norm, die den gesamten Fahrzeuglebenszyklus für eine Reihe von Fahrzeugtypen und Technologien abdeckt.

Sie ist eine zuverlässige Norm für die funktionale Sicherheit in der Automobilindustrie. Diese Norm:

• Verbessert Design-Workflows: ISO 26262 behandelt die Komplexität der Hardware- und Softwareintegration in Kfz-Systemen und bietet Orientierungshilfen für Hardware- und Softwareentwicklung.
• Verbessert die Fahrzeugsicherheit: ISO 26262 behandelt den gesamten Sicherheitslebenszyklus elektronischer und elektrischer Systeme in der Automobilindustrie und bietet Herstellern, ihren Zulieferern und Behörden (einschließlich der National Highway Traffic Safety Administration) einen zentralen Bezugspunkt, um robuste Entwicklungs-, Produktions- und Testverfahren für das Sicherheitsmanagement zu gewährleisten.
• Verbessert das Vertrauen: Durch die Einhaltung anerkannter Normen können Hersteller, Zulieferer, Verbraucher und andere Interessengruppen der Automobilindustrie Vertrauen in die Sicherheit von Fahrzeugen und Teilen haben.

Im Folgenden gibt es einen Überblick über den Konstruktions- und Verifizierungsprozess nach ISO 26262:

1. Elemente auflisten: Der Begriff ‚Element‘ hat eine spezifische Bedeutung innerhalb der ISO 26262 und bezeichnet ein System (oder eine Kombination von Systemen), das eine Funktion (oder einen Teil einer Funktion) auf Fahrzeugebene ausübt. Es handelt sich somit um das am höchsten identifizierte Objekt in einem Prozess, z. B. das Antiblockiersystem (oder ABS).
2. Funktionen der obersten Ebene skizzieren: Beschreiben Sie die funktionalen Anforderungen für jedes Element (einschließlich Subsysteme).
3. Mögliche Gefahren identifizieren: Führen Sie für jedes Element eine Gefahrenanalyse und Risikobeurteilung (HARA) durch, wobei Sie auf eine Reihe vordefinierter Gefahrenereignisse verweisen, z. B. Schleudern aufgrund eines ABS-Fehlers.
4. ASILs zuweisen: Automotive Safety Integrity Levels d.h. Integritätsstufen für Fahrzeugsicherheit – die von A (am wenigsten schwer) bis D (am schwersten, lebensbedrohlich) reichen – basieren auf drei Faktoren, nämlich der Expositionswahrscheinlichkeit, der Kontrollierbarkeit und dem Schweregrad der Risiken.
5. Sicherheitsziele identifizieren: Die Sicherheitsziele werden aus den Gefahrenereignissen abgeleitet, die im HARA als höchste Sicherheitsanforderungen auf Fahrzeugebene identifiziert wurden. Jedes Sicherheitsziel hat eine ASIL-Einstufung und kann mit einer oder mehreren Gefahren verknüpft sein.
6. Anforderungen an die funktionale Sicherheit festlegen: Führen Sie eine Sicherheitsanalyse durch, z. B. eine Fehlerbaumanalyse (FTA), um die Ursachen für Gefahrenereignisse zu identifizieren, die zur Verletzung eines Sicherheitsziels führen könnten; diese Analyse hilft bei der Erstellung eines funktionalen Sicherheitskonzepts (FSC). Letztere zielt darauf ab, die Sicherheitsmaßnahmen zu spezifizieren, die erforderlich sind, um die Auswirkungen einschlägiger Fehler zu beheben und funktionale Sicherheitsanforderungen an Entwurf der Systemarchitektur oder externe Maßnahmen zuzuordnen.
7. Technische Sicherheitsanforderungen angeben: Legen Sie das technische Sicherheitskonzept (TSC) fest, das die technischen Sicherheitsanforderungen festlegt und Systemarchitekturen entwirft, die den oben genannten Anforderungen der funktionalen Sicherheit genügen. Die technischen Sicherheitsanforderungen werden den Elementen des Systems zugeordnet.   
8. Produkt konstruieren: Während der Produktkonstruktion entwickeln Ingenieur*innen Produkte in Übereinstimmung mit den oben genannten technischen Sicherheitsanforderungen.
9. Überprüfen und validieren: Die Verifizierung ermöglicht es Sicherheitstechniker*innen, Produktkonstruktionen anhand der Sicherheitsanforderungen zu überprüfen, während die Validierung Tests in realen Szenarien ermöglicht.

Wie in Teil 8 der Norm dargelegt, spielen unterstützende Prozesse (Produktion, Betrieb, Änderungsmanagement und Qualitätsmanagement) während des gesamten Entwicklungslebenszyklus eine entscheidende Rolle bei der Erfüllung von Compliance-Anforderungen.

Um die Einhaltung der Vorschriften zu gewährleisten, müssen Hersteller und Zulieferer ihre Produkte und Prozesse gemäß den funktionalen Sicherheitsrichtlinien gemäß ISO 26262 überprüfen, die als „Bestätigungsmaßnahmen“ bezeichnet werden. Diese Maßnahmen sind in die folgenden drei Kategorien unterteilt:

• Überprüfung der Bestätigung: Beurteilung, ob das betreffende Arbeitsprodukt die entsprechenden ISO 26262-Ziele und -Anforderungen erfüllt
• Audit der funktionalen Sicherheit: Beurteilung, ob die implementierten Prozesse die Ziele und Anforderungen der ISO 26262 erfüllen
• Bewertung der funktionalen Sicherheit: Beurteilung, ob die Ziele und Anforderungen der ISO 26262 erreicht werden. Bei einer Bewertung der funktionalen Sicherheit werden die Ergebnisse der Bestätigungsprüfungen und der Audits der funktionalen Sicherheit berücksichtigt.

ISO 26262 wurde als Reaktion auf die zunehmende Komplexität elektrischer und/oder elektronischer Systeme in Kraftfahrzeugen eingeführt. Dementsprechend hat sich auch die Komplexität der Konstruktion konformer Elemente erhöht.

In diesem Zusammenhang müssen die Automobilingenieur*innen folgende Herausforderungen bewältigen:

• Einhaltung aller Teile von ISO 26262 unter Berücksichtigung der umfassenden Ziele und Anforderungen in jedem Teil
• Die zunehmende Komplexität der zu entwickelnden Systeme (softwaredefinierte Fahrzeugarchitekturen, hochautomatisierte Fahrsysteme, Infotainment-Systeme usw.) 
• Entwicklung generischer Plattformen durch OEMs und Lieferanten, die Chips für OEMs von Drittanbietern entwickeln, ohne Kenntnis der Sicherheitsanforderungen für ihre vorgesehene Endverwendung. In diesem Fall müssen Konstrukteur*innen Annahmen treffen und sicherstellen, dass sie eine vollständige Dokumentation dieser Annahmen liefern.
• Die Notwendigkeit, umfassende Konstruktionsdaten, Abhängigkeiten, geistiges Eigentum und Dokumentation zu überwachen
• Die Möglichkeit, IP-Eigentumsrechte für jedes Tool, System oder Element zu verfolgen, das im Entwicklungsprozess verwendet wird. Dies bedeutet, dass Ingenieur*innen IP-Angebote jedes einzelnen Anbieters sorgfältig bewerten, dokumentieren und verifizieren müssen.

Angesichts der oben beschriebenen Herausforderungen wird deutlich, dass die Einhaltung von ISO 26262 ohne die Hilfe spezialisierter Softwaretools nahezu unmöglich ist.

Angesichts der Kosten für Rückrufe von Fahrzeugen benötigen die meisten OEMs entlang der Lieferkette im Automobilsektor Nachweise für die Einhaltung der ISO 26262.

Wo erfolgreiche Entwicklungsprojekte in der Regel auf ein Patchwork von dedizierten Tools basierten, ist die Ansys medini® analyze™ Software ein modellbasiertes, umfassendes Tool für die Sicherheitsanalyse elektrischer und elektronischer Kraftfahrzeugsysteme, das in einem praktischen Paket angeboten wird.

Die Ansys medini analyze Software bietet Transparenz bei der Gestaltung der Fahrzeugsicherheit und fördert so das Vertrauen und die Zusammenarbeit zwischen den wichtigsten Stakeholdern in der Automobilindustrie. Dies ermöglicht:

• Modellbasierte Sicherheitsanalyse
• SysML-Modellierung (Systems Modeling Language) mit Sicherheitseigenschaften
• Analyse der funktionalen Sicherheit
• Wichtige Sicherheitsanalysen unter Verwendung von Methoden wie Failure Modes Effects and Diagnostics Analysis (FMEDA), HARA, HAZARD and Operability (HAZOP) Studien, Failure Mode and Effects Analysis (FMEA), FTA, , Standard „Safety Of the Intended Functionality (SOTIF)“ und anderen
• Sicherheitsanalyse auf System-, Software- und Hardwareebene
• Integration mit Tools für das Anforderungsmanagement
• Vollständige Rückverfolgbarkeit, Workflows und vieles mehr

Zusätzlich zur Ansys medini analyze Software bietet Ansys SCADE®Produktkollektion eine modellbasierte Umgebung für die Softwareentwicklung:

• Modellbasierter Designeditor 
• Automatische Generierung von sicherem Code
• Testfunktionen
• Messung der Testabdeckung bis MC/DC (modifizierte Bedingungs-/Entscheidungsüberdeckung)
• AUTOSAR-Konformität

Wenn Sie Ihren ISO 26262-Prozess optimieren möchten, melden Sie sich für eine Testversion der Ansys medini analyze Software an.

Wenn Sie die Kosten für Softwareentwicklung und -Verifizierung um bis zu 50 % senken möchten, melden Sie sich für eine kostenlose Testversion der Ansys SCADE Softwarean.

Zugehörige Ressourcen