ISO 26262 Straßenfahrzeuge - Funktionale Sicherheit
ISO 26262 ist eine internationale Norm zur Absicherung der funktionalen Sicherheit von Straßenfahrzeugen.
Diese Norm ist eine Ableitung der Sicherheitsnorm IEC 61508 für die spezifischen Gegebenheiten elektrischer/elektonischer Systeme im Automotivbereich.
ISO 26262 beschreibt einen Sicherheits-Lebenszyklus sowie die notwendigen Aktivitäten für jede Phase der Lebenszyklen. Die Norm bietet einen automotiv-spezifischen risikobasierten Ansatz zur Bestimmung der Risikoklassen (Automotive Safety Integrity Levels, ASIL). Von den Risikoklassen hängen die erforderlichen Sicherheitsanforderungen zur Erreichung eines akzeptablen Restrisikos ab.
Teil 6: Produktentwicklung auf dem Software-Niveau
Teil 6 der ISO 26262 (ISO 26262-6) spezifiziert die Anforderungen an die Software-Entwicklung.ISO 26262 und Code-Komplexität
ISO 26262 schreibt eine geringe Code-Komplexität für alle Risikoklassen (ASILs) vor (siehe Punkt 5.4.7 der Norm 26262-6).Testwell CMT++ Code Complexity Measures Tool kann zur Messung der Code-Komplexität eingesetzt werden und hilft dabei, die Anforderungen der Norm zu erreichen.
ISO 26262 und Statische Codeanalyse
Für die Überprüfung und Implementierung des Software-Unit-Designs sind Statische Codeanalysen zwingend vorgeschrieben (siehe Punkt 8.4.5 der Norm 26262-6).Statische Codeanalyse kann mit CodeSonar® durchgeführt werden.
Whitepaper: Simplifying ISO 26262 Compliance with CodeSecure
Statische Analyse-Tools tragen zur Erfüllung der ISO 26262 bei (Link auf Elektroniknet.de)
ISO 26262 und Testüberdeckung (Test Coverage)
Um die Vollständigkeit von Testfällen sicherzustellen, verlangt die Norm ISO 26262 die Messung der strukturellen Testabdeckung. Je nach Automotive Safety Integrity Level werden Statement-Coverage, Branch-Coverage und/oder MC/DC (Modified Condition/Decision Coverage) verlangt (siehe Punkt 9.4.4 der Norm 26262-6).
Testabdeckungsstufe | ASIL A | ASIL B | ASIL C | ASIL D |
Statement Coverage | + + | + + | + | + |
Branch Coverage | + | + + | + + | + + |
MC/DC (Modified Condition/Decision Coverage) | + | + | + | + + |
+ + steht für "sehr zu empfehlen (highly recommended)", + steht für "zu empfehlen (recommended)"
Wenn die erreichte strukturelle Testabdeckung als zu niedrig angesehen wird, müssen gemäß der Norm ISO 26262-6 weitere Testfälle erstellt werden bzw. Gründe für die niedrige Test Coverage geliefert werden.
Testwell CTC++ Test Coverage Analyser analysiert alle verlangten Coveragestufen und kann zur Durchsetzung der Norm eingesetzt werden.
Im Punkt 9.4.5 verlangt die Norm, dass die Testumgebung für den Software-Unit-Test so weit wie möglich der tatsächlichen Umgebung entsprechen soll.
Da Testwell CTC++ die Testabdeckung direkt in allen (selbst kleinsten) Embedded Targets analysiert, ist es das ideale Werkzeug zur Bestimmung der in ISO 26262 verlangten Testabdeckung.
Im Punkt 10.4.5 der ISO 26262 sind Function Coverage und Call Coverage (auch Call Pair Coverage genannt) alternative, gleichwertige Methoden.
Die Function Coverage wird von Testwell CTC++ direkt ermittelt.
Call Coverage bzw. Call Pair Coverage kann direkt mit Imagix 4D angezeigt werden, wenn dieses Tool zusammen mit Testwell CTC++ genutzt wird.
Mehr erfahren: Call Coverage mit Testwell CTC++ und Imagix 4D
ISO 26262 und Code Coverage (Online-Präsentation)
Zertifizierung / Qualification-Kit
Für Testwell CTC++ 10.x steht ein Zertifikat der TÜV Süd Rail GmbH für die Nutzung in sicherheitskritischen Projekten (alle SIL- und ASIL-Levels) zur Verfügung.Verifysoft bietet ein Qualification-Kit für Testwell CTC++ (aktuell für Versionen 9.x und früher) an, welches die Sicherheitsnormen DO-178C, EN-50128, IEC 61508 und ISO 26262 abdeckt.