Eine Publikation der Swissprofessionalmedia AG
PDF download
Modellbasierter Ansatz zur Entwicklung von ISO-26262-konformen Automotive-Safety-Anwendungen: Ausgabe 05/2019, 21.03.2019

Software-Sicherheitsstandards reduzieren das Katastrophenrisiko

In den letzten Jahren ist Software zu einem dominanten und kritischen Teil vieler Komponenten geworden, die auch in sicherheitsrelevanten Bereichen wie Transport, Kernenergie, Luft-/Raumfahrt, Medizin und im Automobil verwendet werden. Die schnell wachsende Softwarekomplexität machte die Systemarchitektur umfangreicher und komplizierter. Ein modellbasierter Designworkflow war die Antwort der Industrie.

Mit dem modellbasierten Designworkflow (z.B. V-Modell) liessen sich das Design und die funktionale Verifikation auf Architektur- und Modellebene erleichtern, gefolgt von einer anschliessenden automatisierten Codegenerierung und einem erneuten Test in jeder Phase der Entwicklung. Das Design und die Verifizierung nach Software-Sicherheitsstandards ist zu einem Muss geworden, um die Anforderungen bei der Erstellung sicherer und zuverlässiger Systeme für die erwähnten Märkte Transport, Kernenergie, Luft-/Raumfahrt, Medizin und Automobil zu erfüllen. Sobald Software-Sicherheitsstandards wie DO-178B/C, EN 50128, ISO 26262, IEC 61508 vom Entwickler ordnungsgemäss eingehalten werden, kann das Risiko an Katastrophen reduziert werden. Für Bereiche wie autonomes Fahren müssen ausserdem Regeln ausserhalb der Richtlinien angewendet werden.

Der ISO 26262- Werkzeugqualifizierungsprozess
Sicherheit ist eines der Schlüsselthemen im Bereich Automotive. Die ISO 26262 beschreibt unter anderem die Anforderungen an die Produktentwicklung auf (Embedded-)SoftwareEbene und die Bestimmung der erforderlichen Sicherheitslevels. In der Entwicklungsphase stellt sich ausserdem die Frage nach dem Vertrauen in den Einsatz von Softwaretools. Die Werkzeugqualifizierung ist einer der Schlüssel zur Reduzierung der Kosten für die Entwicklung und Verifizierung der sicherheitsrelevanten Software. Klausel 11 der ISO 26262 enthält Kriterien zur Bestimmung des erforderlichen Vertrauensniveaus in ein Softwaretool und Mittel zur Qualifizierung einer Software, so dass sich der Anwender auf die korrekte Funktion des Werkzeugs verlassen kann.
Die ANSYS SCADE Suite wurde vom TÜV SÜD zur Entwicklung von ASIL D Automotive Software nach TCL 3 qualifiziert. Um die Qualifizierung zu erreichen, wurde SCADE nach der Norm IEC 61508 entwickelt und einer Gefahrenanalyse und Risikobewertung unter Verwendung der HAZOP-Methode unterzogen.

Effizienter, modellbasierter  Entwicklungsablauf mit SCADE
SCADE ist ein SysML-basiertes Tool, das typischerweise zur Darstellung des funktionalen und architektonischen Designs des Systems verwendet wird. Neben der Beschreibung der Systemfunktionen und der Architektur muss zu Beginn des Projekts ein Traceability Framework eingerichtet werden. Die SCADE LifeCycle-Produkte ermöglichen die Einrichtung aller Rückverfolgbarkeitslinks von den ersten Systemanforderungen über die Designmodelle bis hin zu den generierten Codes und den Testszenarien.
Während der Entwurfsphase werden erste Verifizierungsaktivitäten für das Softwaremodul durchgeführt. Dazu gehören die folgenden:
■ Semantikprüfung der SCADE Suite-Modelle
■ Reviews der SCADE Suite-Modelle auf der Grundlage von der SCADE Suite Reporter
■ Rückverfolgbarkeitsanalyse zwischen den Sicherheitsanforderungen der Software und dem SCADE Suite-Modell durch den Einsatz des SCADE Application Lifecycle Management Gateways

Software- und Integrationstest
Während den Aktivitäten zur Softwareverifizierung und -validierung bietet SCADE Test Verifizierungsfunktionen auf Modellebene. Die SCADE Suite-Modelle werden in der vorgegebenen Testumgebung simuliert und überprüft, ob die angelegten Bedarfs-Basistests die erwarteten Ergebnisse ergeben. Dies wird dann in einem Konformitätsbericht festgehalten.
Schliesslich muss nachgewiesen werden, dass die erstellten Testfälle die Sicherheitsanforderungen an das SCADE-Modell vollständig abdecken. Es geht darum, die Gründlichkeit der Simulation und der Tests zu überprüfen. Diese sogenannte Modell-Abdeckungsanalyse kann auch dazu beitragen, unbeabsichtigte Funktionen zu erkennen. Dies wird durch die Verwendung von SCADE Test Model Coverage erreicht.
Die SCADE Test Model Coverage führt eine MC/DC-Bewertung (Modified Condition/Decision Coverage) der strukturellen Abdeckung des SCADE Suite-Modells durch die anforderungsbasierten Tests durch, zusammen mit einer Bewertung der erzeugten Code-Deckung, wodurch die Ziele der ISO 26262 auf der höchsten ASIL-Ebene (Automotive Safety Integrity Level) erfüllt werden. Die beschriebenen Methoden und Tools werden von Firmen aus dem Bereich Automotive benutzt, um grosse und komplexe Steuerungsanwendungen zu realisieren. Gleichzeitig werden die Kosten für Softwareentwicklung und Test deutlich reduziert.

Kostenloses Tagesseminar am 2. April in Bern
Beim kostenlosen Tagesseminar «Model Based Safety and System Engineering Day» am 2. April 2019 in Bern stellen die Experten von ANSYS und FlowCAD die Functional Safety Tools von ANSYS vor. Der Verifikationsaufwand innerhalb von Sicherheitsentwicklungszyklen wird mit den Tools von ANSYS SCADE, ANSYS Twin Builder sowie ANSYS medini analyze nachweislich drastisch reduziert. Im Rahmen von Sicherheitsabläufen zeigen die Fachleute alles Wichtige auf. Die Anbindung an Anforderungsmanagementsysteme, der Import von bestehendem Code oder Modellen aus anderen Formaten (z.B. Simulink) wird während der Vorträge ebenfalls behandelt. Darüber hinaus werden auch Methoden präsentiert, um Bedrohungen der Cybersicherheit zu begegnen. Das englischsprachige Seminar richtet sich an Sicherheitsingenieure, Projektleiter und alle Entwickler von Hard- und Softwarekomponenten, die in ihrer Arbeitsumgebung Sicherheitsstandards und Zertifizierungsrichtlinien einhalten müssen, und darüber hinaus die Effizienz in Design und Verifikation steigern möchten. «

Infoservice
FlowCAD Schweiz AG
Hintermättlistrasse 1, 5506 Mägenwil
Tel. 056 485 91 91, Fax 056 485 91 95
info@flowcad.ch, www.flowcad.ch

 



Sicherheit ist eines der Schlüsselthemen im Bereich Automotive – die ISO 26262 beschreibt die wichtigsten Anforderungen


Softwareentwicklungsprozess mit SCADE einschliesslich Architekturdesign, Detaildesign, Codegenerierung und Test

Seminar-Agenda

8:30 – 9:00: Welcome & Reception
9:00 – 9:15: Overview of the ANSYS Platform – From Model based System Engineering to Code Development, Model based Safety, System Verification and Digital Twin for Safety Applications
9:15 – 10:00: Model based System Engineering in different Safety Market Domains – MBSE for Cars, Trains , Chips and Airplanes, Support for AUTOSAR, AADL and FACE
10:00 – 10:30: Bio Break and Networking
10:30 – 11:15: From System Model to Functional Safety Concept – Initial Architecture, HAZOP, Function Model, HARA, Safety Goals and Requirements Management, Reliability Analysis (according to IEC6230, SN29500, Mil 217+, FIDES etc.) FMEDA, FTA, FMEA
11:15 – 12:00: Identifying Cyber Security Threats with Medini Analyze – Attack Trees, Thread Analysis, Cyber Security Concept
12:00 – 13:00: Lunch and Networking
13:00 – 13:45: Embedded Code Creation for Safety Critical Software – Model in the Loop, Scade Language, C, C++, Requirements Integration
13:45 – 14:30: Rapid Prototyping and Testing – Connecting graphical Elements, Test Coverage, Test Verification, Monkey Test
14:30 – 15:00: Bio Break and Networking
15:00 – 15:45: Human Machine Interface based on SCADE Model – Designing graphical Interface Software for Safety Applications, Model and interface Connection
15:45 – 16:30: Digital Twin as Catalyst for your Safety Development – Predicitve Maintenance, Software and Hardware Gap Analysis, Safety Verification based on Simulation
16:30 – 16:45: Closing Remarks