ISO 26262 Straßenfahrzeuge - Funktionale Sicherheit
ISO 26262 ist eine internationale Norm zur Absicherung der funktionalen Sicherheit von Straßenfahrzeugen.Diese Norm ist eine Ableitung der Sicherheitsnorm IEC 61508 für die spezifischen Gegebenheiten elektrischer/elektonischer Systeme im Automotivbereich.
ISO 26262 beschreibt einen Sicherheits-Lebenszyklus sowie die notwendigen Aktivitäten für jede Phase der Lebenszyklen. Die Norm bietet einen automotiv-spezifischen risikobasierten Ansatz zur Bestimmung der Risikoklassen (Automotive Safety Integrity Levels, ASIL). Von den Risikoklassen hängen die erforderlichen Sicherheitsanforderungen zur Erreichung eines akzeptablen Restrisikos ab.
Teil 6: Produktentwicklung auf dem Software-Niveau
Teil 6 der ISO 26262 (ISO 26262-6) spezifiziert die Anforderungen an die Software-Entwicklung.ISO 26262 und Code-Komplexität
ISO 26262 schreibt eine geringe Code-Komplexität für alle Risikoklassen (ASILs) vor (siehe Punkt 5.4.7 der Norm 26262-6).Testwell CMT++ Code Complexity Measures Tool kann zur Messung der Code-Komplexität eingesetzt werden und hilft dabei, die Anforderungen der Norm zu erreichen.
ISO 26262 und Statische Codeanalyse
Für die Überprüfung und Implementierung des Software-Unit-Designs sind Statische Codeanalysen zwingend vorgeschrieben (siehe Punkt 8.4.5 der Norm 26262-6).Statische Codeanalyse kann mit CodeSonar® durchgeführt werden.
Whitepaper: Simplifying ISO 26262 Compliance with CodeSecure
Statische Analyse-Tools tragen zur Erfüllung der ISO 26262 bei (Link auf Elektroniknet.de)
ISO 26262 und Testüberdeckung (Test Coverage)
Um die Vollständigkeit von Testfällen sicherzustellen, verlangt die Norm ISO 26262 die Messung der strukturellen Testabdeckung. Je nach Automotive Safety Integrity Level werden Statement-Coverage, Branch-Coverage und/oder MC/DC (Modified Condition/Decision Coverage) verlangt (siehe Punkt 9.4.4 der Norm 26262-6).
Testabdeckungsstufe | ASIL A | ASIL B | ASIL C | ASIL D |
Statement Coverage | + + | + + | + | + |
Branch Coverage | + | + + | + + | + + |
MC/DC (Modified Condition/Decision Coverage) | + | + | + | + + |
+ + steht für "sehr zu empfehlen (highly recommended)", + steht für "zu empfehlen (recommended)"
Wenn die erreichte strukturelle Testabdeckung als zu niedrig angesehen wird, müssen gemäß der Norm ISO 26262-6 weitere Testfälle erstellt werden bzw. Gründe für die niedrige Test Coverage geliefert werden.
Testwell CTC++ Code Coverage Analyzer analysiert alle verlangten Coveragestufen und kann zur Durchsetzung der Norm eingesetzt werden.
Im Punkt 9.4.5 verlangt die Norm, dass die Testumgebung für den Software-Unit-Test so weit wie möglich der tatsächlichen Umgebung entsprechen soll.
Da Testwell CTC++ die Testabdeckung direkt in allen (selbst kleinsten) Embedded Targets analysiert, ist es das ideale Werkzeug zur Bestimmung der in ISO 26262 verlangten Testabdeckung.
Im Punkt 10.4.5 der ISO 26262 sind Function Coverage und Call Coverage (auch Call Pair Coverage genannt) alternative, gleichwertige Methoden.
Die Function Coverage wird von Testwell CTC++ direkt ermittelt.
Call Coverage bzw. Call Pair Coverage kann direkt mit Imagix 4D angezeigt werden, wenn dieses Tool zusammen mit Testwell CTC++ genutzt wird.
Mehr erfahren: Call Coverage mit Testwell CTC++ und Imagix 4D
ISO 26262 und Code Coverage (Online-Präsentation)
TÜV Süd Certificate für Testwell CTC++ Code Coverage Analyzer
- für die sicherheitsrelevante Entwicklung nach IEC 61508:2010 für alle SIL geeignet ist,
- für den Einsatz in einem standardkonformen Entwicklungsprozess gemäß ISO 26262:2018 für alle SIL geeignet ist,
- für den Einsatz in der sicherheitsrelevanten Softwareentwicklung gemäß EN 50128:2011/A2:2020 für alle SIL geeignet ist und
- für den Einsatz in der sicherheitsrelevanten Softwareentwicklung gemäß IEC 62304:2006+A1:2015 für alle Software Sfety Klassen geeignet ist.
Für weitere Informationen über den Einsatz von Testwell CTC++ in der sicherheitskritischen Entwicklung kontaktieren Sie uns bitte.