Fotolia_133156970_S

ISO26262: Rückwirkungsfreiheit – Was ist das?

Veröffentlicht am Veröffentlicht in Deutsche Blogs, ISO26262

Es gibt 4 wesentliche Maßnahmen in der Entwicklung sicherheits relevanter Systeme.

  • Design von Systemen von denen keine Gefahr ausgeht
  • Maßnahmen zur Minimierung von zufälligen Hardwarefehlern
  • Maßnahmen zur Minimierung von systematischen Hardware und Softwarefehlern
  • Organisatorische Maßnahmen (Management der Funktionalen Sicherheit)

Insbesondere beim Design von Systemen von denen keine Gefahr ausgeht, kommt immer wieder das Prinzip der Rückwirkungsfreiheit (=Freedom of Interference) zur Anwendung. Was ist das? Wie wird es in der Praxis angewendet? Der nachfolgende Blogbeitrag liefert Antworten auf diese Fragen.

Was bedeutet das Prinzip der Rückwirkungsfreiheit?

Folgende Darstellung illustriert das Prinzip:

ISO26262 Rückwirkungsfreiheit
Rückwirkungsfreiheit

Mit der Rückwirkungsfreiheit wird nachgewiesen, dass ein (Teil-)System mit niedrigem ASIL Level (in der Darstellung ASIL A) in keiner Form auf ein System mit höherem ASIL (in der Darstellung ASIL C) einwirken kann. Damit wird verhindert das ein System bei dem eine höhere Fehlerrate (=ASIL A) erlaubt ist auf ein System wirkt bei dem eine niedrigere Fehlerrate (ASIL C) gefordert wird.
Das Design in der linken Darstellung zeigt auf, dass es keinerlei Möglichkeit gibt, wie das ASIL A System das ASIL C System beeinflussen könnte. Das bedeutet, dass das ASIL C System bezogen auf das ASIL A System rückwirkungsfrei ist.
Im Systemdesign in der rechten Darstellung ergibt sich ein Daten-/Kontrollfluss von dem ASIL A auf das ASIL C System. Damit ist das ASIL C System erstmal nicht rückwirkungsfrei. Das ASIL C System kann von dem ASIL A System beeinflusst werden. In diesem Fall müssen weitere Design Maßnahmen ergriffen werden um eine Rückwirkungsfreiheit trotzdem zu erreichen. Z.B. könnte das ASIL C System die Daten die vom ASIL A System als Eingang anliegen zunächst auf Korrektheit plausibilisieren. Unter Berücksichtigung dieser Maßnahme, wäre die Rückwirkungsfreiheit der ASIL C Komponente ggf. auch erreicht.
In beiden Darstellungen entstand das Systemdesign durch die ASIL Dekomposition einer ASIL D Komponente. Daher rührt das D in der Klammer.
Die ISO26262 macht zu diesem Thema „nur“ die Aussage, dass eine ausreichende Unabhängigkeit erreicht werden muss. Wie sich das nun in der gelebten Projekt-Praxis auswirkt lesen Sie im nächsten Blog.

Gerne unterstütze ich Sie bei individuellen Fragen zu der Thematik. Sowohl mit dem „HEICON Starter“ also auch dem „HEICON Consulting“ unterstütze ich Sie bei der Klärung offener Fragen. (www.heicon-ulm.de).

Senden Sie eine Mail an: info[at]heicon-ulm.de!

3 Gedanken zu „ISO26262: Rückwirkungsfreiheit – Was ist das?

    1. Hallo Herr Ross, Sie haben völlig recht. Mir geht es in dem Blog aber „nur“ um den Aspekt Rückwirkungsfreiheit. Vielleicht wäre es besser wenn ich den Dekompositionsaspekt ganz weggelassen hätte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.