Safety-Engineering & Management

Wir machen Ihre Embedded Systeme oder Software sicher.

Überblick

Entwickeln Sie Elektronik oder Software für Automotive Embedded Systeme oder Komponenten? Dann kann vom Ihrem Produkt eine Gefahr auf Menschen und die Fahrzeugumgebung ausgehen. Die ISO 26262 Funktionale Sicherheit definiert den Stand der Technik, wie man sicherheitskritische Systeme für Automotive Serienfahrzeuge entwickelt.

Neben dem Schutz unserer Mitmenschen sollten Sie die Einhaltung der ISO 26262 in Fällen von Rückruf oder Schadensersatz vorzeigen können. Gleichzeitig geht es um angemessenen Entwicklungsaufwand: Von einer Lenkung geht ein anderes Gefahrenpotenzial aus als von einer Rückfahrkamera. Die Lenkung erfordert höherwertigere Sicherheitsvorkehrungen. Mit der ISO 26262 ermitteln wir das richtige Maß.

Die 12 Bände der ISO 26262 decken ein komplettes Entwicklungsprojekt ab. Entsprechend umfangreich und schwer verständlich ist der Standard selbst:

ISO 26262 Funktionale Sicherheit in Zahlen
ISO 26262 ist ein komplexer Standard
(Basiert auf ISO 26262:2018 (2nd Ed) Funktionale Sicherheit)

Aber was genau davon müssen Sie ausführen? Was ist optional? Was brauchen Sie sofort und was später? Ich unterstütze Sie in der Rolle des Safety Managers und begleite Ihr Projektteam vom Projektstart bis zur Produktionsfreigabe.

Allerdings gibt ISO 26262 nicht im Detail vor, wie Sie Ihre Sicherheitskonzepte auslegen müssen. Sie haben Spielraum. Mittlerweile haben sich bewährte Konzepte und Entwurfsprinzipien etabliert. Ich bringe die Expertise in Ihr Projekt ein.

Projekte

Safety Management nach ISO 26262

Ich übernehme die Rolle des Safety Managers in Ihrem Projekt und begleite Sie bis zur Freigabe.

Safety Engineering für Sicherheitskonzepte

Als System-Software-Architekt entwickle ich funktionale & technische Sicherheitskonzepte.

Unabhängiges Confirmation Review

Ich führe für Sie Confirmation Reviews durch, damit Sie die I3-Unabhängigkeit erreichen.

Kern-Services

  • Safety Management nach ISO 26262
  • Funktionale und Technische Sicherheitskonzepte
  • Sicherheitsmechanismen mit Fault Handling Time Interval (FHTI)
  • Sicherheitsanalysen für System & Software
  • Systemstruktur & Laufzeit & Komplexität
  • Funktions-, Wirk- und Lösungsprinzipien
  • Requirements Engineering
  • Systemisch & Kommunikation
  • Hybrides Projekt-Management
  • Zuständigkeiten und Arbeitspakete
  • Dokumentation
  • Automotive SPICE®

projekte

1. Safety Management nach ISO 26262

Entwickeln Sie ein Item, System oder Software, das unter den Anwendungsbereich der ISO 26262 fällt? Sie brauchen einen Safety Manager, der Sie in Ihrem Projekt unterstützt? Sie brauchen jemanden, der die Feinheiten der ISO 26262 kennt und operativ treiben kann? Ich unterstütze Sie vom Projektstart bis zur Serienfreigabe:

Ein Beispiel für eine Safety Impact Analyse for the Item laut ISO 2626 Funktionale Sicherheit
Auszug einer Safety Impact Analyse für das Item gem. ISO 26262.
(Darstellung aus eigenem Projekt.)
Auszug aus Safety Plan und Safety Case gemäß ISO 262626 Funktionale Sicherheit
Kontinuierlicher gepflegter Safety Plan und Safety Case für ISO 26262-2.
(Darstellung aus eigenem Projekt.)
Tailoring der Methoden aus ISO 26262 über den Produktlebenszyklus
Tailoring der Entwicklungsmethoden aus ISO 26262 gemäß höchstem ASIL-Level.
(Darstellung aus eigenem Projekt.)
Development Interface Agreement nach ISO 26262 und RASCI für Projektteam sowie Confirmation Measures
Development Interface Agreement nach ISO 262626-8 sowiei RASCI des Projektteams.
(Darstellung aus eigenem Projekt.)
Statusbericht für Safety-Projekt mit Aufwand, Meilensteintrendanalyse, Risikoübersicht, Reifegrad und Restbudget
Cockpit Chart für Safety-Statusberichte.
(Darstellung aus eigenem Projekt.)
Aufwandsschätzung für ein Safety-Projekt
Aufwandsschätzung für ein Safety-Projekt
(Darstellung aus eigenem Projekt.)

          

Als Safety Manager in Ihrem Projekt analysiere ich, welche Aktivitäten und Methoden der ISO 26262 wir in Ihrem konkreten Projekt anwenden oder argumentieren müssen. Das plane ich mit Ihren Projektleitern und Ihrem Projektteam in den regulären Projektablauf ein. Daraufhin begleite ich sie bei der Umsetzung und organisiere die Safety-Aktivitäten: von den Anforderungen über das Entwickeln der Sicherheitskonzepte bis hin zu Sicherheitsanalysen und Freigabetests.

Mit den Arbeitsergebnissen baue ich kontinuierlich eine belastbare Safety-Argumentation auf und dokumentiere sie im Safety Plan und Safety Case. Wenn Sie mindestens einen ASIL C erfüllen müssen - oder es wünschen -, organisiere und begleite ich ein Safety-Assessment oder Safety-Audit bis zum jeweiligen erfolgreichen Abschluss.

Schließlich stelle ich für Software- oder Musterfreigaben sowie für die Produktionsfreigabe Empfehlungen aus und gebe etwaige Einschränkungen für die sichere Inbetriebnahme und Nutzung an.

Starten Sie Ihr Projekt

Ziele

  • Abschluss aller Safety Aktivitäten
  • Bestandenes Safety Assessment
  • Belastbarer Sicherheitsnachweis
  • Empfehlung für Produktionsfreigabe

Indikation

  • Tagessatz* (8h): €1050,- bis €1250,-
  • Abrechnung nach Aufwand
  • Reise- und Hotelkosten nach Vereinbarung

Optionen

  • Monatliche Statusberichte
  • Ratenzahlung
  • 100% Verfügbarkeit bei Teilbeauftragungen
  • Beauftragung über Engineering-Dienstleister

*zzgl. gesetzlicher MwSt.


2. Safety Engineering für Sicherheitskonzepte

Sie entwickeln ein sicherheitskritisches System und fragen sich, wie sich Safety-Engineering von Ihrer bisherigen Entwicklung unterscheidet? Sie suchen bewährte Architekturmuster für sicherheitskritische Anwendungen? Oder, brauchen Sie hands-on Safety-Engineering?

Safety-Engineering == System-Engineering für das Qualitätsmerkmal »Safety« mit strengeren Auflagen für Analyse und Tests.

Ich will sagen: Das Rad wurde mit der ISO 26262 keineswegs neu erfunden. Die Aktivitäten und Methoden finden wir auch in anderen Standards oder Fachbüchern. Es gibt bewährte Architekturmuster, wie das 3-Ebenen-Konzept (»EGAS«). Es gibt auch Entwurfsmuster, wie End-to-End-Verschlüsselung oder Locksteps. Das können wir aufgreifen und umsetzen.

Hiearchical system architecture with 3 layer from kontext view over system concept to basis software
Die ISO 26262 geht von einer strengen hierarchischen Ordnung vom Fahrzeug über Items, Systeme und Komponenten aus.
(Darstellung angelehnt an Haberfellner, R., Fricke, E., de Weck, O., & Vössner, S. (2012). Systems Engineering : Grundlagen und Anwendung. Zürich: Orell Füssli.)
Das Bild zeigt ein Sicherheitskonzept mit Input, Ebene 1 Funktionsschicht, Ebene 2 Monitoringschicht, Ebene 3 Hardwaremonitoring und Output beziehungsweise Aktuatoren
Sicherheitskonzept mit Funktions-, Funktions-Monitoring und Hardware-Monitoring
(Eigene Darstellung)
Das Bild zeigt ein Sicherheitskonzept mit Input, Ebene 1 Funktionsschicht, Ebene 2 Monitoring Schicht und Output beziehungsweise Aktuatoren
Architekturmuster: Sicherheitskonzept mit Funktions- und Monitoringebene
(Eigene Darstellung)
Ausschnit einer Anforderunsspezifikation für Sicherheitskonzepte
Sicherheitsanforderungen werden wie gehabt spezifiziert
(Eigene Darstellung.)
Das Bild zeigt Sicherheitsmechanismen mit zugehörigem ASIL-Level und Verteilung auf Hardware
Verteilung der ASIL-Funktionen nach ASIL-Level auf Hardware-Komponenten
(Eigene Darstellung)
Das Bild zeigt eine einfache funktionale Regelstruktur zur Kraftberechnung
Funktionsprinzip eines Kraftreglers
(Eigene Darstellung)
Signalflussanalyse für eine hierarchische System-Architektur
Fehlerreaktionszeit (FHTI): Für Sicherheitsfunktion ist ein Zeitintervall einzuhalten
(Eigene Darstellung)
Sequence-Chart für die Optimierung einer Fault Handling Time Interval Performance
Sequenz-Diagramm für die Optimierung eines Sicherheitsmechanismus
(Eigene Darstellung.)
Das Bild zeigt die zeitliche Entwicklung der Qualitätsmetrik Fault Handling Time Interval über mehrere Softwarestände
Safety-Ziele: Fehlerreaktionszeit (FHTI) systematisch verbessert
(Eigene Darstellung aus internen Projekten)
Risikoabschätzung von Fehlern auf Basis von Projektparametern und VDA702
Risikoabschätzung für entdeckte Fehler
(Eigene Darstellung aus internen Projekten)

                  

Aufbauend auf Systems-Engineering unterstütze ich Sie bei der Entwicklung Ihrer Funktionalen und Technischen Sicherheitskonzepte, den erforderlichen Sicherheitsanalysen und deren Umsetzung in den Fachdomänen. Mein Fokus liegt auf software-intensiven Systemen.

Starten Sie Ihr Projekt

Ziele

  • Sicherheitskonzept entwickelt
  • Verifikations-Reviews und Sicherheits-Analysen bestanden
  • Sicherheitsmechanismen und Fehlerreaktionszeiten (FHTI) verifiziert
  • Bestätigung der Konzepte im Safety Assessment

Indikation

  • Tagessatz* (8h): €1050,- bis €1250,-
  • Abrechnung nach Aufwand
  • Reise- und Hotelkosten nach Vereinbarung

Optionen

  • Monatliche Statusberichte
  • Ratenzahlung
  • 100% Verfügbarkeit bei Teilbeauftragungen
  • Beauftragung über Engineering-Dienstleister

*zzgl. gesetzlicher MwSt.


3. Unabhängiges Confirmation Review

Wenn Sie ein Confirmation Review gemäß ISO 26262:2018 2-6.4.9.1 von einem unabhängigen, professionellen Safety Experten brauchen.

ISO 26262 fordert unmissverständlich unabhängige Confirmation Reviews. Es kann aber vor allem bei der I3 Unabhängigkeit schwierig sein, jemanden zu finden, der oder die

  • unabhängig ist von der Autorin oder dem Autor des Dokuments UND
  • unabhängig ist von der oder dem Freigabeberechtigten UND
  • unabhängig ist vom Projektmanagement UND
  • unabhängig ist vom Linienmanagement UND
  • unabhängig ist vom Entwicklungsteam UND
  • Ahnung von Safety hat UND
  • Zeit hat.

Sie lösen diesen Engpass in einem einzigen Schritt, wenn Sie mich als professionellen Safety-Experten beauftragen.

Sie brauchen bestandene Confirmation Reviews für alle Dokumente, die wie folgt zugeordnet werden können:

  • Impact Analysis at the Item Level
  • Hazard Analysis and Risk Assessment
  • Safety Plan
  • Functional Safety Concept
  • Technical Safety Concept
  • Integration and Test Strategy
  • Safety Validation Specification
  • Safety Analyses and the Dependent Failure Analyses
  • Safety Case
  • Impact Analysis at Element (re-use)

So geht's: Wir klären, welches Review in welchem Umfang notwendig ist und vereinbaren die Geheimhaltung. Sie gewähren mir Zugang zu den relevanten Arbeitsprodukten und Unterlagen. Darauf folgt: Review-Kickoff, meine unabhängige Inspektion, Ergebnisbesprechung, Review-Entscheidung und ggf. Follow-up um offene Punkte zu verifizieren.

Zu Ihrem Confirmation Review

Ziele

  • Confirmation Review bestanden und dokumentiert.
  • Bestätigung im Safety Assessment

Indikation

  • €2.500,- bis €4.000,-*
  • ca. 1,5 Wochen Dauer
  • Kick-off
  • 2 Follow-up Besprechungen

Optionen

  • Ausführlicher Review-Bericht mit Ergebnis, Befunden und Referenzen zu ISO 26262
  • Englisch oder Deutsch
  • Unbegrenzte Kommunikation per Mail oder Messenger

*zzgl. gesetzlicher MwSt.


Zusatzangebot zum Confirmation Review

  • 30min kostenloses Beratungsgespräch
    Ich unterstütze und berate Sie natürlich gerne, wenn unklar ist,
    • was genau »I0« bis »I3« bedeutet
    • welche Confirmation Reviews für Sie erforderlich sind
    • welche Unabhängigkeit Sie für Ihren konkreten Fall brauchen
    • wie häufig und in welchem Umfang Confirmation Reviews auszuführen sind

*zzgl. gesetzlicher MwSt.

  • Aktive Teilnahme am Safety Assessment: € 250*
    • Ich schalte mich per Videokonferenz zu einem abgestimmten Termin für bis zu 2h zu Ihrem Safety Assessment hinzu und vertrete mein Confirmation Review.
    • Sie sichern sich automatisch meine Teilnahme, wenn Sie ein Confirmation Review beauftragen; auch wenn das Assessment in mehreren Monaten oder Jahren ist.
    • Damit ich teilnehme, können Sie jederzeit flexibel diese Zusatzoption buchen.

FÜR Ihre Entscheidung

Meine Erfahrung mit ISO 26262

Niemand kann allein die ISO 26262 vollständig abdecken. Ich auch nicht. Lesen Sie nachfolgend, auf welche Aktivitäten ich mich spezialisiert habe. Die Füllbalken zeigen meine Erfahrung.

1. Vocabulary

2. Management of Functional Safety

2-5 Overall Safety Management
2-6 Project dependent Safety Management
2-7 Safety Management regarding production, operation, service, and decommissioning

3. Concept Phase

3-5 Item Definition
3-6 Hazard Analysis and Risk Assessment
3-7 Functional Safety Concept

4. Product Development at the System Level

4-5 General Topics for the Product Development at the System Level
4-6 Technical Safety Concept
4-7 System Integration and Testing
4-8 Safety Validation

12. Adaptation of ISO 26262 for Motorcycles

12-5 General Topics for Adaptation of Motorcycles
12-6 Safety Culture
12-7 Confirmation Measures
12-8 Hazard Analysis and Risk Assessment
12-9 Integration and Testing
12-10 Safety Validation

5. Product Development at the Hardware Level

5-5 General Topics for the Product Development at the Hardware Level
5-6 Specification of Hardware Safety Requirements
5-7 Hardware Design
5-8 Evaluation of the Hardware Architectural Metrics
5-9 Evaluation of the Safety Goal Violations due to random Hardware Failures
5-10 Hardware Integration and Verification

6. Product Development at the Software Level

6-5 General Topics for the Product Development at the Software Level
6-6 Specification of Software Safety Requirements
6-7 Software Architectural Design
6-8 Software Unit Design and Implementation
6-9 Software Unit Verification
6-10 Software Integration and Verification
6-11 Testing of the Embedded Software

7. Production, operation, service and decommissioning

7-5 Planning for production, operation, service and decommissioning
7-6 Production
7-7 Operation, service and decommissioning

8. Supporting Processes

8-5 Interfaces within Distributed Developments
8-6 Specification and Management of Safety Requirements
8-7 Configuration Management
8-8 Change Management
8-9 Verification
8-10 Documentation Management
8-11 Confidence in the Use of Software Tools
8-12 Qualification of Software Components
8-13 Evaluation of Hardware Elements
8-14 Proven in use Argument
8-15 Interfacing an Application out of Scope of ISO 26262
8-16 Integration of safety-related Systems not developed according to ISO 26262

9. Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented Analyses

9-5 Requirements Decomposition with respect to ASIL Tailoring
9-6 Criteria for Coexistence of Elements
9-7 Analysis of Dependent Failures
9-8 Safety Analyses

Legende

Schulungsniveau
Koordination für Safety Case
Aktivitäten geringer Komplexität
Review und Analysen
4+ Jahre Erfahrung
6+ Jahre Erfahrung
8+ Jahre Erfahrung

Übersicht zur ISO 26262:2018 (2nd Ed.) Funktionale Sicherheit
Mein Fähigkeiten und Kompetenzen auf ISO 26262 gemappt
Übersicht zur ISO 26262:2018 (2nd Ed.) Funktionale Sicherheit

Ich bin hier, um zu helfen

FAQ - Häufig gestellte Fragen

Meine Kunden schätzen offene Worte und klare Informationen.

  • Ab wann muss ich ISO 26262 anwenden? ISO 26262 ist für Embedded Systeme oder elektrische Komponenten anzuwenden, die in a) Straßenfahrzeugen außer Mopeds verbaut werden und b) in Serienproduktion erzeugt werden und c) ab 2011 in Serie gegangen sind.
  • Gilt die ISO 26262 nur für Fahrzeuge bis 3,5t? Nicht mehr. Mit der zweiten Edition anno 2018 wurde diese Einschränkung entfernt. So wurden neue Kapitel für LKW, Busse und Motorräder in die ISO 26262 aufgenommen.
  • Ist Sicherheit mit ISO 26262 komplett abgedeckt? Nein. Einerseits müssen Sie auch andere Gefährdungen der Produktsicherheit betrachten. Andererseits müssen Sie den rapide fortschreitenden Stand der Technik umsetzen; teilweise den Stand der Wissenschaft.
  • Gibt es Hilfestellungen bei der Gefahren- und Risikoanalyse (G&R)? Der VDA 702 Situationskatalog (Link) gibt Auftretenswahrscheinlichkeiten (Exposure) für typische Fahrszenarien an. Das ist eine gute Orientierung.
  • Was bedeutet Funktionssicherheit? Es geht um die Sicherheit der gewünschten Funktionen. Beim Elektroantrieb sind das etwa Beschleunigen, Bremsen, Rekuperieren, Hochvoltenergiewandlung. Ein Antrieb kann auch Wärme als »Abfallprodukt« erzeugen. Das fällt unter Produktsicherheit.
  • Welche Gefährdungen außer den funktionalen sind für mein Embedded System noch relevant? Typische weitere Gefährdungen (»Hazards«) sind Feuer, Explosion, irreführende Informationen, gefährliche Materialen oder Stoffe, Hydraulik, Pneumatik, Unterspannung im Fahrzeugnetz, Hochvoltkontakt.
  • Bedeutet »QM«, dass mein Produkt nicht sicherheits-relevant ist?Nein. Sie müssen nur keine speziellen Auflagen erfüllen, die die ISO 26262 an Ihr Embedded System oder Projekt stellt. Nicht sicherheits-relevant im Sinne der ISO 26262 würde bedeuten, dass Sie weder einen ASIL A bis D noch QM vergeben.
  • Tragen Safety Manager:innen die Verantwortung für Safety? Im Englischen unterscheiden wir »Accountability« und »Responsibility«. »Accountability« tragen die Projektleiter:innen beziehungsweise Ihr Unternehmen. Safety Manager:innen sind »responsible« für das korrekt durchgeführte Safety Management.
  • Bestätigt ein Safety-Assessment die Produktsicherheit? Nein, das können keine Safety Assessoren leisten. Dafür müsste sie Ihr Produkt im Detail beurteilen können und dafür müssten sie es selbst entwickelt haben. Sie können nur prüfen, ob Ihre Safety Argumentation plausibel, konsistent und integer ist.
  • Was unterscheidet ISO 26262 von IEC 61508? ISO 26262 berücksichtigt die speziellen Bedürfnisse von Automotive. Zum Beispiel sind die Sicherheitskonzepte in den Systemen integriert und nicht durch externe Zusatzsysteme abgedeckt. IEC 61508 gilt allgemein für Embedded Systeme.
  • Wie hängen Safety nach ISO 26262 und Security nach SAE AWI 21434 zusammen? Zuerst prüfen wir Safety. Einige der Safety-Mechanismen müssen vor Manipulation geschützt werden: Parameter, Bus-Kommunikation bis hin zu Passwörtern, um Code zu verschlüsseln. Das soll Security absichern.
  • Wie hängen ISO 26262 und Automotive SPICE® zusammen? ISO 26262 fordert die Umsetzung eines Qualitätsstandards wie ISO 9001, ISO TS 16949 oder auch Automotive SPICE®. Automotive SPICE® postuliert anerkannte Prozese; verrät uns aber nicht, wie man echte Probleme löst.

Nächste schritte

Erzählen Sie mir von Ihrem Projekt

Wir machen Ihre elektronischen, softwareintensiven Systeme sicher.