Du bist hier: / / Rückwirkungsfreiheit – Die gelebte Praxis!

Rückwirkungsfreiheit – Die gelebte Praxis!

Im letzten Blogbeitrag (Juni 2017) habe ich das Prinzip der Rückwirkungsfreiheit erklärt. Das verwendete Beispiel bezog sich dabei auf die Automobilbranche und die ISO26262.
Nun möchte ich das Thema branchenübergreifend (Bahn, Luftfahrt, Automobil) betrachten und meine Erfahrungen aus der Projektpraxis mit Ihnen teilen.
Nachfolgende Darstellung ergibt sich wenn man die Rückwirkungsfreiheit in Branchen übergreifender Form darstellt. In der Bahn- bzw. Automobilindustrie ist dabei der SIL bzw. ASIL Level des weniger kritischen Systems niedriger als der SIL Level des kritischen Systems (z.B. weniger sicherheits-relevant: SIL1/ASIL A, sicherheits-relevant: SIL 3/ASIL D). In der Luftfahrtindustrie verhält es sich umgekehrt, der DAL Level des weniger kritischen Systems ist höher als der des kritischen Systems (z.B. weniger sicherheits-relevant: DAL C, sicherheits-relevant: DAL A).

Rückwirkungsfreiheit in der Luftfahrtindustrie

In der Luftfahrtindustrie wird dieses Prinzip am konsequentesten angewendet. Wenn ein Design vorhanden ist bei dem z.B. ein DAL C System ein DAL A System wirken kann, dann muss nachgewiesen werden, das wirkungsvolle Maßnahmen ergriffen worden sind um sicherzustellen, dass das DAL A System jederzeit korrekt arbeiten kann. Maßnahmen können sein:

  • Änderung des System Designs sodass kein Daten- und Kontrollfluss zwischen dem DAL C und dem DAL A System notwendig ist
  • Ausführung der beiden Systeme auf unterschiedlicher Hardware und damit Schaffung einer Hardware Schnittstelle zwischen dem DAL C und DAL A System und Überprüfung der Eingangsdaten vom DAL C System innerhalb des DAL A Systems
  • Verifikation von relevanten Teilen des DAL C Systems nach DAL A Vorgaben
  • Konstruktive Softwaremaßnahmen um die Schnittstelle zwischen DAL C und DAL abzusichern. Dies kommt vor allem dann zum Einsatz wenn das DAL C und DAL A System auf dem gleichen Mikroprozessor ausgeführt werden.

Eine dieser Maßnahmen oder eine Kombination daraus kommt in der Regel zum Einsatz. Die Wirksamkeit der muss der Luftfahrbehörde demonstriert und nachgewiesen werden.

Rückwirkungsfreiheit in der Bahnindustrie

In der Bahnindustrie bewertet ein Gutachter der Eisenbahnbehörde die Wirksamkeit der getroffenen Maßnahmen. Diese unabhängige Bewertung durch staatliche Behörden stellt eine Gemeinsamkeit zwischen Bahn und Luftfahrt dar. Das gibt es in der Automobilbranche so nicht. Auch in der Bahnindustrie wird versucht Systeme mit unterschiedlicher SIL Einstufung auf verschiedenen Mikroprozessoren auszuführen, da diese Maßnahme als die wirkungsvollste angesehen wird. Auch die Wirksamkeit der anderen Maßnahmen wird in der Bahnindustrie ähnlich zur Luftfahrt eingestuft.

Rückwirkungsfreiheit in der Automobilindustrie

In der Automobilindustrie gibt es in der gelebten Projektpraxis bei diesem Thema doch deutlichere Unterschiede. Zum Einen gibt es nicht die Notwendigkeit des Nachweises gegenüber einer staatlichen Behörde. Sofern Zulieferer das Thema bearbeiten führt oft der OEM Audits durch. Hier kann es aber deutlich schneller als bei einer staatlichen Behörde zu Interessenkonflikten kommen.

Aus meiner Sicht steht die Automobilindustrie bei diesem Thema im Vergleich zu den beiden anderen Industrien eher am Anfang. Viele akzeptieren halbwegs plausible Erklärungen als Nachweis für eine ausreichende Unabhängigkeit der Systeme. Explizite Beweise der Rückwirkungsfreiheit wie z.b: entsprechende Tests werden in einigen Projekten gemacht, wirklich eingefordert werden Sie aber eher selten.

Mit Blick auf das hochautomatisierte, bzw. autonome Fahren gewinnt das Thema aber zunehmend an Bedeutung. Welche Maßnahmen für den Nachweis der Rückwirkungsfreiheit sich in der Automobilbranche durchsetzen werden, wird aber erst die Zukunft zeigen.

Die ISO26262 macht zu diesem Thema „nur“ die Aussage, dass eine ausreichende Unabhängigkeit erreicht werden muss.

Ihre individuellen Fragen zur Funktionalen Sicherheit beantworten wir gerne in einem ersten, kostenlosen 30min Beratungsgespräch!
Vereinbaren Sie gleich einen Termin: Eine kurze Mail an info[at]heicon-ulm.de genügt, oder greifen Sie gleich zum Telefonhörer: +49 (0) 7353 981 781 (Mo bis Fr 08:00 – 18:00Uhr).

/0 Kommentare/von
Das könnte Dich auch interessieren
ISO26262ISO 26262 ASIL Dekomposition – Chancen und Risiken!
Funktionale SicherheitFunktionale Sicherheit und agile Entwicklungsmethoden – Ein unüberbrückbarer Gegensatz (Teil 2)?
Funktionale SicherheitStrukturelle Source Code Überdeckung – Aufwand ohne Nutzen?
ISO26262ISO 26262: Rückwirkungsfreiheit – Was ist das?
Requirement EngineeringDie Herausforderung Nicht-Funktionale Requirements!
IndustrieIEC 61508 – zertifizierte Werkzeuge – Wann? Warum? Wie?
0 Kommentare

Hinterlasse einen Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Kontakt

HEICON Global Engineering GmbH
Dipl. Ing. (FH) Martin Heininger
Kreuzweg 22
88477 Schwendi

Tel.: +49 7353 – 98 17 81
Mobil: +49 176 – 24 73 99 60

Email: info[at]heicon-ulm.de

IMPRESSUM  |  DATENSCHUTZ

ISO 26262: Rückwirkungsfreiheit – Was ist das?ISO26262Funktionale SicherheitCompiler für sicherheitsrelevante Software – Was ist zu tun?