Newsletter 03/2021

Wie und warum tragen Normen dazu bei, dass sich Sicherheitsprozesse, z. B. für die Automobilelektronik, in der gesamten Lieferkette verbreiten? Unser Experte für Funktionale Sicherheit in der Elektronik, Jens Michael Warmuth, erläutert die Hintergründe.

Teaser: #EAS-Stimmen: Functional Safety
© peshkov / Fotolia.com

Funktionale Sicherheit ist als Thema sehr stark durch Normen getrieben. Das hat mit rechtlichen Rahmenbedingungen zu tun aber auch damit, dass es diverse klassische Arbeitsgebiete überspannt.
Auch vor der Einführung spezifischer Normen gab es Produkte die dem gesellschaftlichen Konsens für Sicherheit entsprachen. So haben zum Beispiel Automobilhersteller bereits lange vor der 2011 erschienenen ISO 26262 bereits Fahrzeuge hergestellt, die sicher waren und elektrische und elektronische Komponenten für ihre Funktion benötigten. Dies erforderte allerdings nicht unbedingt eine über die gesamte Lieferkette bis zum IC-Hersteller durchgehende Auslegung für sicherheitskritische Produktentwicklung. Dies liegt daran, dass über lange Zeit Produkte wie zum Beispiel ein Auto nur auf einer sehr hohen Ebene abgesichert wurden – also definitiv nicht in einzelnen ICs oder SiP-Komponenten. Die OEMs oder Tier 1 Zulieferer verwendeten dazu nur die absolut notwendigen elektronischen Komponenten im kritischen Pfad und sicherten diese oft durch diversitäre Redundanz ab.
Mit der Einführung spezifischer Normen kam vor allem eine Vereinheitlichung der Methoden über die gesamte Lieferkette. Gerade durch die ISO26262 wurden IC-Entwickler und Halbleiterfertiger vermehrt, teilweise sogar zum ersten Mal, mit dem Thema Funktionale Sicherheit konfrontiert. Im Gegensatz zu ihrer Mutternorm, der IEC 61508, schreibt die ISO 26262 an vielen Stellen ein sehr klares Vorgehen vor. So ist zum Beispiel nur ein Verfahren zur Durchführung der „hazard analysis and risk assessment“ explizit vorgesehen. Die IEC 61508 nennt hier mehrere Alternativen und erlaubt zusätzlich das Verwenden beliebiger andere Methoden, solange sie die Anforderungen der Norm erfüllen.

Hieraus erklärt sich die eingangs Allgegenwärtigkeit der Normen bei der Entwicklung sicherheitskritischer Produkte oder allgemein Beschäftigung mit Funktionaler Sicherheit. Im Prozess werden vom Management, über die Hardwareentwicklung, die Softwareentwicklung, die Produktion bis hin zur Nachbetreuung im Feld alle Stationen eingebunden. Es ist nicht mehr möglich aus eigener Erfahrung eine zuverlässige Elektronik zu bauen und lediglich eine normgerechte Endabnahme zu bestehen, wie es z.B. im Automobilbereich mit der AEC-Q100 möglich war.

Gerade für OEMs war und ist die ISO 26262 sehr hilfreich. So konnten sie auf einfache Weise von ihren Zulieferern einen relativ einheitlichen Prozess verlangen und Produkte auf einfache Weise vergleichen. Sind zwei funktional gleichwertige Produkte für ein ausreichendes ASIL qualifiziert, kann die Entscheidung über den Preis getroffen werden. Es muss nicht mehr anhand von weicheren Kriterien bewertet werden, welcher Zulieferer das qualitativ hochwertigerer und somit wahrscheinlich sicherere Produkt anbietet.

Nun wird allerdings von einigen Beteiligten an unterschiedlichen Positionen der Lieferkette festgestellt, dass es Schwierigkeiten mit der Innovationsfähigkeit geben könnte. Neue Ansätze, die bei der Entstehung der Norm nicht einbezogen wurden und auch nicht in das Rahmenwerk der Norm passen, sind schwer umzusetzen. Das gilt nicht so sehr für einzelne Testfahrzeuge, sondern für eine Straßenzulassung des Serienprodukts. Die ISO 26262 sieht prinzipiell oft auch die Möglichkeit vor, dass eine freie Argumentation für eine äquivalente Sicherheit zu bereits im Feld operierenden Produkten geführt werden kann. In der Praxis ist die Hemmung eine solche Argumentation zu führen jedoch enorm. Wären die Norm nicht vorhanden bzw. gäbe es keine von ihr vorgeschlagenen Standardmethoden, wäre die Hemmung sicherlich geringer. Es würden sich in diesem Fall schließlich alle Methoden von Anfang an als gleichwertig Darstellen.

Zu nennende Innovationen sind hier vor allem die künstliche Intelligenz sowie spezifische Hardware zu ihrem Einsatz, modulare im Feld durch Austausch von Komponenten konfigurierbare Systeme und Over-Air Updates. Ebenfalls, etwas spezifischer bezüglich Absicherung gegenüber Hardwareausfällen, können Konzepte zur Predictive-Maintenance bzw. Schadensfrüherkennung und Redundanzverminderung hier eingeordnet werden.

Gerade die Künstliche Intelligenz und durch sie gesteuerte autonom lenkende Fahrzeuge sind seit einigen Jahren im öffentlichen Diskurs omnipräsent. Bisher ist allerdings noch kein Vorgehen definiert worden, wie eine KI normgerecht abgesichert werden kann. Momentan ist eine der Herausforderungen dabei, dass ihre Funktion von einem Beobachter nicht als deterministisch wahrgenommen wird. Wenn einem Input aber kein klar definierter Output gegenübersteht ist dies nach der heutigen Sichtweise nicht als sicher zu bewerten. Es liegt nun an den Normungsorganisationen bzw. den Gremien, die die FuSi-Normen erstellen, diese Lücke zu schließen und Herstellern entlang der Lieferkette damit Sicherheit zu geben. Das für Ende des Jahres geplante Update der IEC 61508 wird einen Abschnitt zur künstlichen Intelligenz enthalten. Welche Möglichkeiten er zulässt und wie sich diese in den unterschiedlichen Anwendungsfeldern bewähren, bleibt abzuwarten. Ebenfalls wird sich in der Folgezeit herausstellen müssen, in wie weit die branchenspezifischen Normen der Mutternorm folgen und äquivalente oder eigene Methoden zum Umgang mit künstlicher Intelligenz implementieren. Ebenso interessant ist es, wie mit den weiteren genannten Innovationsthemen umgegangen wird.