Angaben zur Tool-Qualifikation fehlen in vielen Sicherheitsstandards
24.11.2022 Safety & Security Expertenwissen

Angaben zur Tool-Qualifikation fehlen in vielen Sicherheitsstandards

Obwohl branchenspezifische Sicherheitsstandards meist anspruchsvolle Anforderungen für die Tool-Qualifikation für besonders kritische Applikationen enthalten, finden sich in vielen dieser Normen keine genauen Einzelheiten darüber, wie diese Vorgaben erfüllt werden können. Die Tool-Qualifikationsprozesse für ISO 26262 und DO-330 können diese Lücken schließen – auch außerhalb der eigentlich vorgesehenen Branchen.

Schraubenschlüssel und Schraubendreher aus vernetzten Punkten stehen symbolisch für Softwaretools Sicherheitskritische Systeme erfordern zertifizierte Softwaretools, häufig sind die Anforderungen an die Tool-Qualifikation jedoch nicht genau definiert (Copyright: istock.com/Who_I_am)

Branchenübergreifende Anwendung von ISO 26262 und DO-330


Normen für funktionale Sicherheit

Die Entwicklung softwarebasierter, sicherheitskritischer Systeme heutiger Prägung ist ohne zertifizierte Softwaretools und Prozesse nicht denkbar. In vielen Anwendungen ist die Tool-Qualifikation ein absolutes Muss, wenn sichergestellt sein soll, dass die Qualität des von den Tools hervorgebrachten Codes ausreicht, um die Anforderungen der einschlägigen Sicherheitsnormen zu erfüllen.

Als Tool-Qualifikation wird die Sicherstellung eines akzeptabel niedrigen Risikos verstanden. Ein Fehler in einem Tool darf die funktionale Sicherheit eines Systems nur dann beeinträchtigen, wenn entweder nur wenige Fehler auftreten oder die Funktion von vornherein keine Auswirkungen auf die Sicherheit hat.  

Die Mehrzahl der Normen für funktionale Sicherheit gewährleistet durch die Definition von Qualifikationsprozessen, dass potenzielle Fehler entweder gänzlich vermieden oder aber bei der Anwendung der Tools festgestellt werden. Nur wenige Normen enthalten jedoch irgendwelche Details für besonders kritische Anwendungen. Obwohl hinter allen diesen Standards das gemeinsame Ziel steht, Vertrauen in das jeweilige Tool aufzubauen, besteht nur wenig Klarheit in Bezug darauf, was die Entwicklungs-Teams genau tun sollen.

Dies wiederum stellt eine echte Herausforderung dar, denn die Tool-Qualifikation ist zu komplex und zeitaufwändig, als dass sie halbherzig angegangen werden könnte.

Auch wenn die Verwendung TÜV-zertifizierter Tools in vielen Fällen ausreichen mag, gibt es doch immer mehr Applikationen, in denen viel auf dem Spiel steht und in denen die Normen für funktionale Sicherheit höhere Anforderungen stellen.   

Branchenübergreifende Tool-Qualifikation mit ISO 26262 und DO-330

In besonders kritischen Anwendungen, bei denen eine TÜV-Zertifizierung zu kurz greifen würde, bieten die Normen ISO 26262 und DO-330 einen gangbaren Weg zur Qualifikation.

Die Norm ISO 26262 (Road vehicles – Functional safety) ist ein speziell auf die Automobilindustrie abgestimmter Abkömmling der Norm IEC 61508. Die Norm RTCA/DO-330 (Software Tool Qualification Consideration) wurde eingeführt, um die Tool-Qualifikationsanforderungen zur Entwicklung von Software für die Luftfahrt (RTCA/DO-178C) zu ergänzen. Laut DO-330 erfordert jedes Projekt eine Tool-Qualifikation – unabhängig davon, wie kritisch es ist. Die in den beiden Normen beschriebenen Prinzipien lassen sich auch auf andere Branchen anwenden.

Indem Entwickler-Teams ein Verständnis dafür entwickeln, weshalb andere Normen unzureichend sind, und indem sie darauf aufbauend ausloten, wie sich die Normen ISO 26262 und DO-330 so anpassen lassen, dass sie auch außerhalb der eigentlich für sie vorgesehenen Branchen anwendbar sind, lässt sich ein Tool-Qualifikationsprozess ausarbeiten, der über den Rahmen der TÜV-Qualifikation hinausgeht.


Sie möchten das Thema vertiefen? 
Auf der embedded world Exhibition&Conference 2025 
haben Sie vom 11. bis 13. März 2025 die Möglichkeit,
sich mit Branchenexperten auszutauschen. 

Gemeinsamkeiten und Unterschiede von ISO 26262 und DO-330

Um sich zwischen den beiden Normen ISO 26262 und DO-330 zu entscheiden und die beste Lösung für die jeweilige Anwendung zu finden, müssen Unternehmen über die gemeinsamen Prinzipien und Unterschiede beider Normen Bescheid wissen.

Gemeinsamkeiten

  • Auswirkung von Fehlern: Berücksichtigung von Methoden und Prozessen des Tools;
  • Art des Tools: Unterscheidung zwischen Tools, die Fehler in das System einbringen (z.B. Code-Generatoren) und Tools, die vorhandene Fehler nicht entdecken.

Unterschiede

Klassifikation von Konfidenz-Anforderungen:

  • ISO 26262: Tool Confidence Levels (TCL) 1, 2 und 3;
  • DO-330: Kriterien 1, 2 und 3

Alternative Qualifikationsmethoden:

  • ISO 26262: Verwendung anderer Qualifikationsprozesse nur unter bestimmten Umständen;
  • DO-330: eigener Qualifikationsprozess für Prüf-Tools.

Testverifikations-Technik:

  • ISO 26262: Prüfung und Analysen;
  • DO-330: On-Target-Test zum Nachweis von Effektivität und Compliance für höhere DAL (Design Assurance Level).

Nichts an den von beiden Normen definierten Qualifikationsprozessen macht sie sektorspezifisch, und für beide gibt es von zahlreichen Anbietern entsprechende Unterstützung für die Tool-Qualifikation.  

In der safety & security Area der embedded world 2023 finden Sie Aussteller mit Produkten und Dienstleistungen rund um die Sicherheit von eingebetteten Systemen.  

Quelle: Die Originalfassung dieses Artikels von Mark Pitchford, LDRA Software Technology, lesen sie auf elektroniknet.de