Mit dem modellbasierten Designworkflow (z.B. V-Modell) liessen sich das Design und die funktionale Verifikation auf Architektur- und Modellebene erleichtern, gefolgt von einer anschliessenden automatisierten Codegenerierung und einem erneuten Test in jeder Phase der Entwicklung. Das Design und die Verifizierung nach Software-Sicherheitsstandards ist zu einem Muss geworden, um die Anforderungen bei der Erstellung sicherer und zuverlässiger Systeme für die erwähnten Märkte Transport, Kernenergie, Luft-/Raumfahrt, Medizin und Automobil zu erfüllen. Sobald Software-Sicherheitsstandards wie DO-178B/C, EN 50128, ISO 26262, IEC 61508 vom Entwickler ordnungsgemäss eingehalten werden, kann das Risiko an Katastrophen reduziert werden. Für Bereiche wie autonomes Fahren müssen ausserdem Regeln ausserhalb der Richtlinien angewendet werden.
Der ISO 26262- Werkzeugqualifizierungsprozess
Sicherheit ist eines der Schlüsselthemen im Bereich Automotive. Die ISO 26262 beschreibt unter anderem die Anforderungen an die Produktentwicklung auf (Embedded-)SoftwareEbene und die Bestimmung der erforderlichen Sicherheitslevels. In der Entwicklungsphase stellt sich ausserdem die Frage nach dem Vertrauen in den Einsatz von Softwaretools. Die Werkzeugqualifizierung ist einer der Schlüssel zur Reduzierung der Kosten für die Entwicklung und Verifizierung der sicherheitsrelevanten Software. Klausel 11 der ISO 26262 enthält Kriterien zur Bestimmung des erforderlichen Vertrauensniveaus in ein Softwaretool und Mittel zur Qualifizierung einer Software, so dass sich der Anwender auf die korrekte Funktion des Werkzeugs verlassen kann.
Die ANSYS SCADE Suite wurde vom TÜV SÜD zur Entwicklung von ASIL D Automotive Software nach TCL 3 qualifiziert. Um die Qualifizierung zu erreichen, wurde SCADE nach der Norm IEC 61508 entwickelt und einer Gefahrenanalyse und Risikobewertung unter Verwendung der HAZOP-Methode unterzogen.
Effizienter, modellbasierter Entwicklungsablauf mit SCADE
SCADE ist ein SysML-basiertes Tool, das typischerweise zur Darstellung des funktionalen und architektonischen Designs des Systems verwendet wird. Neben der Beschreibung der Systemfunktionen und der Architektur muss zu Beginn des Projekts ein Traceability Framework eingerichtet werden. Die SCADE LifeCycle-Produkte ermöglichen die Einrichtung aller Rückverfolgbarkeitslinks von den ersten Systemanforderungen über die Designmodelle bis hin zu den generierten Codes und den Testszenarien.
Während der Entwurfsphase werden erste Verifizierungsaktivitäten für das Softwaremodul durchgeführt. Dazu gehören die folgenden:
■ Semantikprüfung der SCADE Suite-Modelle
■ Reviews der SCADE Suite-Modelle auf der Grundlage von der SCADE Suite Reporter
■ Rückverfolgbarkeitsanalyse zwischen den Sicherheitsanforderungen der Software und dem SCADE Suite-Modell durch den Einsatz des SCADE Application Lifecycle Management Gateways
Software- und Integrationstest
Während den Aktivitäten zur Softwareverifizierung und -validierung bietet SCADE Test Verifizierungsfunktionen auf Modellebene. Die SCADE Suite-Modelle werden in der vorgegebenen Testumgebung simuliert und überprüft, ob die angelegten Bedarfs-Basistests die erwarteten Ergebnisse ergeben. Dies wird dann in einem Konformitätsbericht festgehalten.
Schliesslich muss nachgewiesen werden, dass die erstellten Testfälle die Sicherheitsanforderungen an das SCADE-Modell vollständig abdecken. Es geht darum, die Gründlichkeit der Simulation und der Tests zu überprüfen. Diese sogenannte Modell-Abdeckungsanalyse kann auch dazu beitragen, unbeabsichtigte Funktionen zu erkennen. Dies wird durch die Verwendung von SCADE Test Model Coverage erreicht.
Die SCADE Test Model Coverage führt eine MC/DC-Bewertung (Modified Condition/Decision Coverage) der strukturellen Abdeckung des SCADE Suite-Modells durch die anforderungsbasierten Tests durch, zusammen mit einer Bewertung der erzeugten Code-Deckung, wodurch die Ziele der ISO 26262 auf der höchsten ASIL-Ebene (Automotive Safety Integrity Level) erfüllt werden. Die beschriebenen Methoden und Tools werden von Firmen aus dem Bereich Automotive benutzt, um grosse und komplexe Steuerungsanwendungen zu realisieren. Gleichzeitig werden die Kosten für Softwareentwicklung und Test deutlich reduziert.
Kostenloses Tagesseminar am 2. April in Bern
Beim kostenlosen Tagesseminar «Model Based Safety and System Engineering Day» am 2. April 2019 in Bern stellen die Experten von ANSYS und FlowCAD die Functional Safety Tools von ANSYS vor. Der Verifikationsaufwand innerhalb von Sicherheitsentwicklungszyklen wird mit den Tools von ANSYS SCADE, ANSYS Twin Builder sowie ANSYS medini analyze nachweislich drastisch reduziert. Im Rahmen von Sicherheitsabläufen zeigen die Fachleute alles Wichtige auf. Die Anbindung an Anforderungsmanagementsysteme, der Import von bestehendem Code oder Modellen aus anderen Formaten (z.B. Simulink) wird während der Vorträge ebenfalls behandelt. Darüber hinaus werden auch Methoden präsentiert, um Bedrohungen der Cybersicherheit zu begegnen. Das englischsprachige Seminar richtet sich an Sicherheitsingenieure, Projektleiter und alle Entwickler von Hard- und Softwarekomponenten, die in ihrer Arbeitsumgebung Sicherheitsstandards und Zertifizierungsrichtlinien einhalten müssen, und darüber hinaus die Effizienz in Design und Verifikation steigern möchten. «
Infoservice
FlowCAD Schweiz AG
Hintermättlistrasse 1, 5506 Mägenwil
Tel. 056 485 91 91, Fax 056 485 91 95
info@flowcad.ch, www.flowcad.ch
