Kernaussagen des Artikels:
ISO 26262 strukturiert ingenieurtechnische und dokumentationsbezogene Tätigkeiten so, dass das aus Fehlern der Elektronik resultierende Risiko auf ein akzeptables Niveau reduziert wird.
- ISO 26262:2018 ist ein internationaler Standard zur funktionalen Sicherheit für elektrische und elektronische (E/E) Systeme in Straßenfahrzeugen.
- Die Norm ist eine an die Einsatzbedingungen und Entwicklungsprozesse der Automobilindustrie angepasste Adaption der IEC 61508.
- Beschreibt den Sicherheitslebenszyklus: von Konzept und Entwurf über Integration und Tests bis hin zu Produktion, Betrieb und Außerbetriebnahme.
- ASIL (A–D) und QM definieren die Strenge der Anforderungen; der Level wird in der HARA anhand von Severity, Exposure und Controllability festgelegt.
- Die Ausgabe 2018 erweiterte den Anwendungsbereich auf die meisten Straßenfahrzeuge (mit Ausnahme von Mopeds) und ergänzte unter anderem Themen im Bereich der Halbleiter.
Moderne Fahrzeuge sind vollgepackt mit Elektronik – von der Motorsteuerung über Fahrerassistenzsysteme bis hin zu Sensoren und Aktoren. Ihre zuverlässige, ausfallfreie Funktion sicherzustellen, ist für die Sicherheit von entscheidender Bedeutung. Die Norm ISO 26262:2018 Road Vehicles – Functional Safety ist ein internationaler Standard, der Anforderungen an die funktionale Sicherheit elektrischer und elektronischer (E/E) Systeme in Straßenfahrzeugen festlegt. Sie stellt eine Anpassung der allgemeinen Norm IEC 61508 (zur funktionalen Sicherheit in allen Branchen) dar, die gezielt auf die Rahmenbedingungen der Automobilindustrie zugeschnitten wurde. Ziel der ISO 26262 ist es, inakzeptable Risiken zu verhindern, die aus Fehlfunktionen elektronischer Systeme entstehen – indem Prozesse zur Risikobewertung definiert und Sicherheitsmaßnahmen umgesetzt werden, die dieses Risiko auf ein akzeptables Niveau reduzieren. Anders gesagt: Die Norm adressiert potenzielle Gefährdungen durch Elektronikfehler in Fahrzeugen und zeigt auf, wie diesen Gefährdungen entgegenzuwirken ist.
ISO 26262 wurde erstmals 2011 veröffentlicht, zunächst mit einem Geltungsbereich, der auf Pkw bis 3,5 Tonnen beschränkt war. Die zweite Ausgabe von 2018 brachte wesentliche Erweiterungen – sie umfasst alle Straßenfahrzeuge (Lkw, Busse, Motorräder usw., ausgenommen Mopeds) und ergänzt neue Abschnitte, u. a. zu Halbleiterkomponenten. Damit trägt die Norm der wachsenden Komplexität und Vielfalt elektronischer Systeme in der modernen Automobiltechnik Rechnung und berücksichtigt deren spezifische Herausforderungen.
IEC 61508 als Grundlage: Hervorzuheben ist, dass ISO 26262 direkt aus der übergeordneten Norm IEC 61508 abgeleitet ist, jedoch eng auf die Anforderungen der Automotive-Branche zugeschnitten wurde. Das bedeutet, dass Methodik der Risikobewertung, die Klassifizierung von Gefährdungen und die Auswahl von Sicherheitsmaßnahmen auf typische Einsatzbedingungen von Fahrzeugen ausgerichtet sind. Die Norm definiert u. a. einen spezifischen Sicherheitslebenszyklus für die Automobilindustrie und führt domänenspezifische Begriffe ein, wie den nachfolgend beschriebenen Automotive Safety Integrity Level.
ISO 26262 strukturiert den gesamten Prozess zur Sicherstellung der funktionalen Sicherheit in einen Lebenszyklus des Produkts – vom Konzept über Entwicklung, Integration und Tests bis hin zu Produktion, Betrieb und Außerbetriebnahme. Der Standard beschreibt, welche Aktivitäten in jeder dieser Phasen erforderlich sind, um potenzielle Gefährdungen zu identifizieren und das Risiko gefährlicher Ausfälle zu minimieren.
ASIL-Stufen – Risikoklassifizierung in ISO 26262
Eines der zentralen Konzepte der Norm ISO 26262 ist ASIL (Automotive Safety Integrity Level), also die Stufe der Sicherheitsintegrität der funktionalen Sicherheit in der Automobiltechnik. ASIL ist eine Skala zur Bewertung des Risikos, das mit einem potenziellen Ausfall eines bestimmten Systems verbunden ist – sie legt fest, wie streng die Sicherheitsmaßnahmen ausfallen müssen, um das Risiko auf ein akzeptables Niveau zu begrenzen. Die Norm definiert vier ASIL-Stufen: A, B, C, D (von der niedrigsten bis zur höchsten) sowie die Kategorie QM (Quality Management), die bedeutet, dass keine Sicherheitsanforderungen über die üblichen Qualitätsprozesse hinaus bestehen.
Festlegung des ASIL: Die ASIL-Stufe wird im Rahmen der Gefährdungsanalyse und Risikobewertung (Hazard Analysis and Risk Assessment, HARA) bestimmt. Für jede potenzielle Gefährdung werden drei Schlüsselfaktoren betrachtet: Severity – die Schwere möglicher Folgen (z. B. Verletzungen), Exposure – die Exposition, also die Häufigkeit von Situationen, die eine Fehlfunktion begünstigen, sowie Controllability – die Beherrschbarkeit, also die Möglichkeit, die Situation durch den Fahrer zu kontrollieren. Die Kombination dieser Faktoren führt zur Risikoklassifizierung. Die Stufen von ASIL A bis ASIL D spiegeln damit die maximale Schwere der Ausfallfolgen, die Wahrscheinlichkeit von Verletzungen sowie die Chance, das Ereignis zu beherrschen wider. Auf Basis dieser Parameter wird der jeweiligen Gefährdung die passende Sicherheitsintegritätsstufe zugeordnet – oder QM, wenn das Risiko so gering ist, dass übliche Entwicklungsmaßnahmen ausreichen.
Bedeutung von ASIL in der Risikobewertung: Die Festlegung des richtigen ASIL-Levels ist von höchster Bedeutung, denn sie bestimmt den erforderlichen Strengegrad im Entwicklungsprozess des Systems. Je höher der ASIL, desto strengere Anforderungen muss das Projekt erfüllen – sowohl hinsichtlich der Hardware- und Softwarearchitektur als auch in Bezug auf Entwicklung, Tests und Validierung. Die Norm schreibt eindeutig vor, dass bei höheren ASIL-Stufen eine detailliertere Dokumentation bereitzustellen ist, strengere Konstruktions- und Entwurfsregeln anzuwenden sind, umfassendere Sicherheitsanalysen durchzuführen sind sowie unabhängige Reviews der Arbeitsergebnisse zu erfolgen haben. In der Praxis erzwingt ein hoher ASIL häufig die Integration von Redundanz– und Diagnosemechanismen in das Design – damit ein einzelner Fehler nicht zum Verlust der Sicherheitsfunktion führt. Zur Veranschaulichung: Lebens- und sicherheitskritische Systeme wie Airbags, das ABS oder die elektrische Servolenkung werden üblicherweise als ASIL D eingestuft, da ein Ausfall eine erhebliche Gefährdung für die Insassen darstellt. Weniger kritische Funktionen, z. B. hintere Positionsleuchten, können hingegen ASIL A erhalten oder sogar als QM eingestuft werden, weil eine mögliche Störung kein hohes Risiko verursacht. Dieser Ansatz ermöglicht es, die größten ingenieurtechnischen Anstrengungen dort zu bündeln, wo sie am dringendsten benötigt werden – bei Systemen, von denen die Sicherheit von Menschen abhängt.
Struktur der Norm ISO 26262:2018 – Teile 1–10
Die Norm ISO 26262 (Ausgabe 2018) ist in mehrere Teile gegliedert, von denen sich jeder auf einen anderen Aspekt des Sicherheitslebenszyklus konzentriert. Den Kern des Standards bilden neun normative Teile (1–9) sowie ein zusätzlicher Teil mit Leitlinien (Teil 10). In der zweiten Ausgabe wurden außerdem die Teile 11 und 12 zu spezifischen Themen ergänzt (Halbleiter bzw. Motorräder); in der folgenden Darstellung konzentrieren wir uns jedoch auf die grundlegenden Teile 1–10, die universell anwendbar sind. Die nachstehende Tabelle zeigt die einzelnen Teile der ISO 26262:2018 zusammen mit ihren Titeln und ihrem thematischen Geltungsbereich:
| Teil | Titel (engl.) | Geltungsbereich und Themen |
|---|---|---|
| 1 | Begriffe (Vocabulary) | Definitionen grundlegender Begriffe, Konzepte und Abkürzungen, die in allen Teilen der Norm verwendet werden. Bildet die Grundlage einer gemeinsamen Terminologie (z. B. werden Begriffe wie Defekt, Fehler, Ausfall, Gefährdung usw. präzisiert). |
| 2 | Sicherheitsmanagement (Management of Functional Safety) | Anforderungen an das Management der funktionalen Sicherheit in der Organisation und in Projekten. Beschreibt Aktivitäten auf Organisationsebene (z. B. Sicherheitsrichtlinie, Kompetenzen) sowie den Sicherheitsmanagementprozess im Projektlebenszyklus (Planung, Überwachung, Konformitätsbewertung). |
| 3 | Konzeptphase (Concept Phase) | Früheste Phase des Produktlebenszyklus. Umfasst die Definition des Elements (item definition), die Gefährdungsanalyse und Risikobewertung (HARA) sowie die Ausarbeitung des Konzepts der funktionalen Sicherheit für das Fahrzeug. In dieser Phase entstehen Sicherheitsziele (safety goals) für die identifizierten Gefährdungen. |
| 4 | Entwicklung auf Systemebene (Product Development at the System Level) | Anforderungen an die Systemauslegung unter Berücksichtigung der Sicherheit. Dieser Teil beschreibt die Erstellung einer Systemarchitektur, die die Sicherheitsziele erfüllt, die Zuordnung von Sicherheitsanforderungen zu einzelnen Elementen sowie Integration und Tests auf Gesamtsystemebene. Umfasst außerdem die Sicherheitsvalidierung auf Fahrzeugebene. |
| 5 | Entwicklung auf Hardwareebene (Product Development at the Hardware Level) | Anforderungen an die Hardware- (elektronische) Entwicklung aus Sicherheitssicht. Enthält Grundsätze zur Erstellung der Hardwarearchitektur, zur Festlegung von Sicherheitsanforderungen für HW-Komponenten, zur Analyse zufälliger Fehler (z. B. Berechnung von Architekturmetriken: SPFM, LFM usw.) sowie zur Verifikation der Hardware gegenüber diesen Anforderungen. |
| 6 | Entwicklung auf Softwareebene (Product Development at the Software Level) | Anforderungen an die Entwicklung sicherer Embedded-Software. Umfasst die Auslegung einer Softwarearchitektur im Einklang mit den Sicherheitszielen, die Implementierung des Codes gemäß Standards (z. B. MISRA-Richtlinien), Unit- und Integrationstests sowie die Verifikation der Software hinsichtlich der Erfüllung der Sicherheitsanforderungen. |
| 7 | Produktion, Betrieb, Service und Außerbetriebnahme (Production, Operation, Service and Decommissioning) | Anforderungen für die Produktions- und Betriebsphase des Produkts. Betreffen u. a. die Sicherstellung, dass der Produktionsprozess das vorgesehene Sicherheitsniveau einhält (Qualitätskontrolle, End-of-Line-Tests), sowie Maßnahmen während der Nutzung des Fahrzeugs (Serviceprozesse, Erfassung von Ausfallinformationen) und die sichere Außerbetriebnahme des Fahrzeugs. |
| 8 | Unterstützende Prozesse (Supporting Processes) | Sammlung allgemeiner Prozesse, die die Sicherheit in allen Phasen des Lebenszyklus unterstützen. Dazu gehören u. a.: Konfigurations- und Änderungsmanagement, Qualifizierung von Softwarewerkzeugen, Bewertung von Komponenten im Hinblick auf proven in use, Pflege einer konsistenten Projektdokumentation, Lieferantenmanagement im Sicherheitskontext sowie die Sicherstellung einer angemessenen Unabhängigkeit im Verifikationsprozess. |
| 9 | ASIL-bezogene Analysen (ASIL-Oriented and Safety Analyses) | Analysemethoden mit Fokus auf ASIL-Aspekte und Systemzuverlässigkeit. Dieser Teil umfasst u. a. die Regeln der ASIL-Dekomposition (Aufteilung von Funktionen auf Elemente mit niedrigerem ASIL bei gleichzeitiger Einhaltung des erforderlichen Sicherheitsniveaus), Kriterien für das Zusammenwirken von Elementen mit unterschiedlichen ASIL in einem System, die Analyse gemeinsamer und abhängiger Fehler (z. B. Dependent Failure Analysis) sowie klassische Risikotechniken wie FMEA oder FTA im Kontext der Anforderungen der ISO 26262. |
| 10 | Leitfaden zur ISO 26262 (Guidelines on ISO 26262) | Informativ gehaltener Teil mit Hinweisen, die die Interpretation der übrigen Normteile erleichtern. Erläutert Begriffe und Prinzipien der ISO 26262 anhand von Beispielen und unterstützt so das korrekte Verständnis der Intention der Anforderungen. (Tritt jedoch eine Abweichung zwischen dem Inhalt dieses Teils und den Anforderungen der Teile 1–9 auf, sind die Anforderungen der normativen Teile anzuwenden.) |
(Hinweis: In der Ausgabe 2018 wurden zusätzlich Teil 11 – Leitfaden zu Halbleiterschaltungen sowie Teil 12 – Anpassung der ISO 26262 für Motorräder ergänzt. Beide sind ergänzende informative Dokumente, die den Anwendungsbereich der Norm um diese Bereiche erweitern.)
Wie zu sehen ist, spiegelt die Struktur der ISO 26262:2018 die einzelnen Phasen und Aspekte des Entwicklungsprozesses sicherer Systeme wider. Die Teile 3–7 führen Ingenieurinnen und Ingenieure durch die nächsten Schritte – von der Definition von Konzept und Sicherheitsanforderungen über den Systementwurf sowie die Umsetzung auf Hardware- und Softwareebene bis hin zur Herstellung und Nutzung des Produkts. Teil 2 stellt sicher, dass dieser gesamte Prozess im Rahmen eines geeigneten Sicherheitsmanagements auf Unternehmens- und Projektebene abläuft. Teil 8 liefert wiederum organisatorische und technische Hilfsmittel (z. B. Konfigurationsmanagement oder Werkzeugqualifizierung), die die Umsetzung der Sicherheitsanforderungen in jedem Schritt unterstützen. Teil 9 stellt Analysemethoden bereit und gewährleistet, dass wir in keiner Phase Einflussfaktoren auf das Risiko (ASIL) übersehen und dass potenzielle gemeinsame oder latente Ausfälle identifiziert werden. All diese Elemente zusammen ergeben ein umfassendes System zur Gewährleistung der funktionalen Sicherheit.
Die ISO 26262:2018 strukturiert den gesamten Lebenszyklus der funktionalen Sicherheit in der Automobilindustrie – von der Konzeptphase über detaillierte Entwicklung und Verifikation bis hin zur Serienproduktion, Instandhaltung und Außerbetriebnahme des Produkts. Damit bietet sie Herstellern und Zulieferern einen konsistenten Handlungsrahmen: von der Risikoanalyse und der Festlegung von Sicherheitsanforderungen über die Umsetzung dieser Anforderungen in die entwickelten Systeme und Software bis hin zu Abschlusstests und der Überwachung des Produkts im Feld. Die Anwendung dieser Norm stellt sicher, dass kein Aspekt der Sicherheit unberücksichtigt bleibt – von der übergeordneten Projektsteuerung bis ins kleinste technische Detail. So entstehen Fahrzeuge mit fortschrittlichen Systemen, die zugleich strenge Sicherheitskriterien erfüllen und das Risiko für die Nutzerinnen und Nutzer minimieren.
Wir wissen, wie eine Entwicklung nach ISO 26262 aussieht – von der Risikoanalyse bis zu den Abschlusstests. Mit unserem Wissen und unserer Erfahrung unterstützen wir Sie dabei, die Anforderungen der Norm in jeder Projektphase umzusetzen, damit funktionale Sicherheit kein Zusatz ist, sondern ein integraler Bestandteil Ihres Produkts.
ISO 26262 – funktionale Sicherheit in der Automobilindustrie
ISO 26262:2018 Road Vehicles – Functional Safety ist eine internationale Norm, die Anforderungen an die funktionale Sicherheit elektrischer und elektronischer (E/E) Systeme in Straßenfahrzeugen festlegt. Ihr Ziel ist es, durch Risikobewertungsprozesse und die Auswahl von Sicherheitsmaßnahmen ein unvertretbares Risiko infolge fehlerhafter Funktion der Elektronik zu verhindern.
ISO 26262 leitet sich unmittelbar aus IEC 61508 ab, ist jedoch an die Gegebenheiten der Automobilbranche angepasst. Sie umfasst eine Methodik zur Risikobewertung sowie einen dedizierten Sicherheitslebenszyklus, der für die typischen Betriebsbedingungen von Fahrzeugen ausgelegt ist.
ASIL (Automotive Safety Integrity Level) ist ein Sicherheitsintegritätsniveau, das den erforderlichen Strengegrad der Sicherheitsmaßnahmen für eine bestimmte Funktion festlegt. Die Norm definiert ASIL A, B, C, D sowie die Kategorie QM, wenn standardmäßige Qualitätsprozesse ausreichen.
ASIL wird in der HARA-Analyse (Hazard Analysis and Risk Assessment) anhand von drei Faktoren festgelegt: Severity (Schwere der Auswirkungen), Exposure (Exposition) und Controllability (Beherrschbarkeit). Die Kombination dieser Parameter bestimmt die Risikoklassifizierung sowie das erforderliche ASIL- oder QM-Niveau.
Die zweite Ausgabe erweiterte den Geltungsbereich von Personenkraftwagen bis 3,5 t auf alle Straßenfahrzeuge (mit Ausnahme von Mopeds). Außerdem wurden neue Abschnitte hinzugefügt, u. a. zu Halbleiterkomponenten.