Deutsche BlogsFunktionale Sicherheit

Toolqualifikation der Phantomschmerz der Funktionalen Sicherheit (Teil2)!

Im ersten Teil (Link) habe ich den Grundgedanken, der hinter der Toolqualifikation steckt erklärt. Ebenso habe ich bereits einen Überblick über die 4 am häufigsten angewendeten Maßnahmen gegeben.
In diesem Beitrag möchte ich nun jede dieser 4 Maßnahmen genauer vorstellen und die jeweiligen Vor- und Nachteile benennen.

Maßnahme 1: Daten aus dem historischen Einsatz des Tools

Diese Maßnahme kann im Rahmen der Toolqualifikation angewendet werden, sofern es sich um ein Tool handelt, welches bereits lange auf dem Markt ist. Außerdem muss die Absicht bestehen, das Tool in einem Anwendungsfall einzusetzen, für den bereits historische Daten vorliegen. Dies bedeutet, es liegen genaue Angaben vor, über etwaige Fehler im Tool und ob diese ggf. behoben worden sind. Kritische Faktoren sind hier, der Fehlerbeobachtungszeitraum und Auswirkungen von etwaigen neuen Toolversionen. In der Luftfahrt wird diese Maßnahme eher kritisch gesehen. In der Industrieautomatisierung, Bahnindustrie und Automobilindustrie kommt diese Maßnahme durchaus zum Einsatz. Insbesondere wenn es sich um industrieweit anerkannte und renommierte Tools handelt.

Maßnahme 2: Assessment des Entwicklungsprozesses des Tools

Diese Maßnahme ist explizit in der ISO 26262 erwähnt und kommt dementsprechend auch vorrangig in der Automobilbranche zum Einsatz. Hier wird ein mehrtägiges, intensives Assessment beim Toolhersteller durchgeführt, um zu begutachten ob der angewandte Entwicklungsprozess für dieses Tool dem Einsatzzweck angemessen ist. Diese Assessments werden meistens von den Toolherstellern selber in Auftrag gegeben und von anerkannten Assessoren durchgeführt. Nach erfolgreichem Bestehen dieses Assessments, verwendet der Toolhersteller dieses Zertifikat auch als Qualitätsnachweis für sein Tool.

Maßnahme 3: Test der Funktionalität des Tools

Diese Maßnahme ist die wohl die bekannteste, um eine Toolqualifikation zu erreichen. Basierend auf einer Beschreibung der Funktionalitäten des Tools, werden für jene Teilfunktionen die verwendet werden, Testfälle erstellt. Die Durchführung dieser Testfälle sollte in derselben Umgebung stattfinden, in der auch das Tool operationell verwendet wird. Oft kommen ja noch diverse Skripte zum Einsatz, die ggf. einen Einfluss auf die Funktionalität des Tools haben können. Dieser Aspekt wird mit einer Durchführung der Tests, in der original operationellen Umgebung, mit abgedeckt. In der Regel steckt der Zeitaufwand nicht in der einmaligen Durchführung der Tests, sondern in der Erstellung der Testspezifikationen, Testfälle und Testprozeduren. Diese Tätigkeit wiederum wird oft auch von den kommerziellen Toolherstellern übernommen. Eine solche Arbeitsteilung minimiert den Arbeitsaufwand für das Projektteam erheblich. Diese Maßnahme bietet das beste Aufwand/Nutzen Verhältnis.

Maßnahme 4: Vollständige Entwicklung des Tools nach einem Standard der Funktionalen Sicherheit

Diese Maßnahme bietet natürlich den höchsten Nutzen für die Sicherheit. In diesem Fall wird das Tool nämlich vollständig nach einem Standard der Funktionalen Sicherheit entwickelt (ISO 26262, IEC 61508, DO-178C, etc.). Das bedeutet, es liegt eine Gefahren- sowie Risikoanalyse vor und alle Planungsdokumente, Spezifikationsdokumente und Verifikationsdokumente wurden gemäß dem Kritikalitätslevel entwickelt, für den auch das Tool selbst zum Einsatz kommen soll. Es ist offensichtlich, dass solch eine Forderung nur in Ausnahmefällen von kommerziellen Toolherstellern erfüllt wird.

Fazit:

Die vollständige Darstellung der Best Practices der einzelnen Branchen würde den Rahmen dieses Blogs deutlich sprengen. Daher hier nur die wesentlichen Punkte:
Die Luftfahrt wendet sehr oft Maßnahme 3 an. Diese ist bestens anerkannt und respektiert. Maßnahme 1 kommt nur in sehr seltenen Fällen zum Einsatz. Maßnahme 2 hat gar keine Akzeptanz. Maßnahme 4 kommt zum Einsatz, aber in der Regel nicht für kommerzielle Tools. Solche Tools sind meist nicht kommerzielle Spezialanwendungen.
In der Automobilbranche hat sich Maßnahme 3 (noch) nicht wirklich durchgesetzt. Hier kommt sehr oft Maßnahme 2 zum Einsatz. Sofern eine schlüssige Begründung möglich ist, wird ggf. auch Maßnahme 1 akzeptiert (je höher der ASIL desto weniger Akzeptanz von Maßnahme 1). Maßnahme 4 stellt aktuell noch die absolute Ausnahme dar.
In der Industrieautomatisierung wird relativ häufig Maßnahme 1 akzeptiert (öfters als in den anderen Branchen). Maßnahme 2 wird auch gerne angewendet. Maßnahme 3 kann bei hohen SIL Level zum Einsatz kommen. Maßnahme 4 ist auch hier die große Ausnahme.

Insgesamt ist zu empfehlen, dem Grundgedanken der Toolqualifikation zu folgen. Dies bedeutet, dass zunächst bestimmt wird, welcher Prozess des Funktionalen Sicherheitsstandard durch den Einsatz eines Tools automatisiert wird, bzw. wo durch das Tool das 4-Augenprinzip verletzt wird.
Nur wo dies der Fall ist, muss überhaupt eine Toolqualifikationsmaßnahme durchgeführt werden.
Das bedeutet in der Praxis meist wiederum, dass für 60% bis 80% aller potentiellen Tools gar keine Maßnahme durchgeführt werden muss. Für die verbleibenden Tools ist Maßnahme 3 in den allermeisten Fällen die beste Wahl. Für sehr wenige, aber sehr kritische Anwendungen kann auch Maßnahme 4 notwendig sein.

Gerne unterstütze ich Sie auch bei individuellen Fragen zu der Thematik. Senden Sie eine Mail an: info[at]heicon-ulm.de.

Ein Gedanke zu „Toolqualifikation der Phantomschmerz der Funktionalen Sicherheit (Teil2)!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

This site uses Akismet to reduce spam. Learn how your comment data is processed.