• Sie befinden sich hier:
  • Wissen »
  • Blog »
  • Nutzung der Tool-Zertifizierung nach ISO 26262 in IEC 61508
Blog

Nutzung der Tool-Zertifizierung nach ISO 26262 in IEC 61508

  • 9. November 2021

Die meisten sicherheitskritischen Standards enthalten einen Abschnitt, in dem die Aktivitäten und Analysen erörtert werden, die erforderlich sind, um sicherzustellen, dass die bei der Entwicklung eines elektronischen Geräts eingesetzten Tools keine Fehler in das Endprodukt einführen.

Der Begriff „Tools“ bezieht sich im Allgemeinen auf Design-Automatisierungssoftware, die vom Konzept bis zur Produktion verwendet wird und von Drittanbietern oder selbst entwickelt werden kann. Eine Tool-Zertifizierung kann oft eine Herausforderung sein. Dieser Beitrag widmet sich dem Thema, wie ein Tool mit ISO 26262-Zertifizierung in Applikationen genutzt werden kann, die eine Tool-Zertifizierung nach IEC 61508 erfüllen muss.

ISO 26262 ZUSAMMENFASSUNG

ISO 26262: 2018 Teil 8 Abschnitt 11 enthält Anleitungen zur Qualifizierung von Softwaretools. Zunächst werden drei Begriffe definiert:

  • Tool Impact (TI): Die Möglichkeit, dass eine Fehlfunktion eines Tools Fehler in einem sicherheitsrelevanten Design einführen oder nicht erkennen kann
  • Tool Error Detection (TD): Das Vertrauen in Maßnahmen, um eine Fehlfunktion des Tools und

fehlerhafte Ergebnisse zu verhindern.

  • Tool Confidence Level (TCL): Eine Bewertung, die TI und TD oben kombiniert.

Die Bestimmung von Tool Impact (TI) und Tool Detection (TD) bestimmen den TCL.

TCL setting based on TI and TD

Für den Fall, dass das Tool als TCL2 oder TCL3 eingestuft wird, müssen Minderungsmaßnahmen durchgeführt werden. ISO 26262-8: 2018 Abschnitt 11.4. bietet Anleitungen zu erforderlichen Aktivitäten unter Berücksichtigung des Automotive Safety Integrity Level (ASIL)-Ziels.

TCL2 Guidance: ISO26262-8:2018 Clause 11.4

TCL3 Guidance: ISO26262-8:2018 Clause 11.4

Es ist erforderlich, dass Unternehmen, die in den obigen Tabellen beschriebenen Minderungstechniken anwenden und den Abschluss dieser Aktivitäten während einer Prüfung dann nachweisen.

IEC 61508 ZUSAMMENFASSUNG

IEC 61508 gibt Hinweise, wie Projektteams die in ihrem Ablauf verwendeten Tools qualifizieren müssen. Aber im Vergleich zu ISO 26262 lassen diese Richtlinien jedoch mehr Interpretationsspielraum.

Erstens enthält IEC 61508:3 7.4.4.3 ein Ranking-System ähnlich wie in ISO 26262. Tools werden als T1, T2 oder T3 bewertet. T1-Tools sind Tools, die keinen Einfluss auf die Sicherheit haben oder bei denen ein hohes Maß an Vertrauen besteht, dass Tool-Fehler erkannt werden. T3-Tools stehen am anderen Ende des Spektrums.

Abschnitt 7.4.4.4 weist darauf hin, dass alle T2- und T3-Tools eine Produktdokumentation bereitstellen müssen, in der die Nutzungsmodelle und Einschränkungen aufgeführt sind. Zusätzlich werden in den Abschnitten 7.4.4.5 und 7.4.4.6 Tool-Validierungsthemen beschrieben, die weiter unten erläutert werden.

Tabelle A.3 schließlich diskutiert die Techniken oder Maßnahmen, die für „Support Tools und Programmiersprache“ für den angestrebten Sicherheitsintegritätslevel (SIL) angewendet werden sollten.

IEC 61508 Part 3 Table A.3 In Bezug auf die Verwendung zertifizierter Tools (dritte Zeile in Tabelle A.3) beschreibt Teil 7 Kapitel C.4 die Kriterien für ein zertifiziertes Tool.

Die Zertifizierung eines Tools wird im Allgemeinen von einer unabhängigen, oft nationalen Stelle nach unabhängig festgelegten Kriterien, typischerweise nationalen oder internationalen Standards, durchgeführt. Idealerweise sollten die Tools, die in allen Entwicklungsphasen (Spezifikation, Design, Codierung, Test und Validierung) verwendet werden, sowie auch die Tools, die im Konfigurationsmanagement eingesetzt werden, einer Zertifizierung unterliegen.

IEC 61508:7 C.4

In der letzten Zeile von Tabelle A.3 wird als Mittel zur Tool-Bewertung „im Einsatz bewährt“ angegeben. IEC 61508:3 7.4.4.4 – 7.4.4.6 beschreibt die Nachweise, die erforderlich sind, um das Argument der nachgewiesenen Verwendung zu erfüllen, einschließlich der Erstellung einer relevanten Historie und einer Dokumentation mit detaillierten Validierungsaktivitäten und -ergebnissen. Andere Aktivitäten umfassen das Dokumentieren des Fehlerverzeichnisses, das Verständnis von Anwendungsfallbeschränkungen und in einigen Fällen die Durchführung der Toolvalidierung. Validierungsnachweise können folgende sein:

  • eine chronologische Aufzeichnung der Validierungsaktivitäten
  • die Version des verwendeten Tool-Handbuchs
  • die validierten Tool-Funktionen
  • verwendete Tools und Geräte;
  • die Ergebnisse der Validierungsaktivität: aus den dokumentierten Validierungsergebnissen muss entweder ersichtlich sein, dass die Software die Validierung bestanden hat, oder es müssen die Gründe für ihr Fehlverhalten angeben werden
  • die Testfälle und deren Ergebnisse für die spätere Analyse
  • die Abweichungen zwischen erwarteten und tatsächlichen Ergebnissen.

SIEMENS ISO 26262-ZERTIFIZIERUNG ZUM VORTEIL NUTZEN

Siemens EDA führt eine umfassende Tool-Bewertung durch und verwendet dafür einen externen Gutachter, um offiziell zu zertifizieren, dass das Produkt den besten Entwicklungsprozess und die besten Standards seiner Klasse erfüllt. Die Zertifizierung durch Dritte nach der Teil-Norm ISO 26262 erfüllt die Anforderung von IEC 61508. Die Zertifizierung wird von „einer unabhängigen, oft nationalen Stelle nach unabhängig festgelegten Kriterien, typischerweise nationalen oder internationalen Standards“ durchgeführt.

Das folgende Bild zeigt das Zertifikat des Siemens EDA-Auditors.

Questa Sim ISO26262 Certificate

 

In jedem Zertifizierungspaket beschreibt Siemens auch die Anwendungsfälle, Entwicklungspraktiken, das Konfigurationsmanagement und die Problemverfolgungssysteme, die zur Unterstützung der klassenbesten Softwareentwicklung eingesetzt werden. Darüber hinaus werden Versionshinweise, Produktdokumentation und Fehlerverzeichnisse bereitgestellt. Wenn sie zusammengeführt werden, können die bereitgestellten Informationen als Nachweise genutzt werden, die für die IEC 61508-Toolbewertung erforderlich sind.

ZUSAMMENFASSUNG

Hoffentlich hat dieser Beitrag einige Ihrer Erwartungen an die Tool-Zertifizierung in ISO 26262 und IEC 61508 erfüllt. Es überrascht somit nicht, dass die Ergebnisse zwischen den beiden Standards ähnlich sind. Daher kann argumentiert werden, dass die ISO 26262-Zertifizierung genutzt wird, um die Anforderungen der IEC 61508-Toolbewertung zu erfüllen. Um diesen Prozess zu vereinfachen, stellt Siemens EDA Zertifizierungspakete bereit, die belegen, dass Siemens EDA-Lösungen sicher in einem sicherheitskritischen Entwicklungsablauf nach ISO 26262 verwendet werden können.

Verfasser: Jake Wiltgen