ASIL-Dekomposition nach ISO 26262 effizient nutzen

In der automobilen Elektronik hat sich die funktionale Sicherheit von einem regulatorischen Muss zu einem strategischen Differenzierungsmerkmal entwickelt. Dieser Wandel wird durch steigende Anforderungen an automatisierte Fahrfunktionen und die zunehmende Vernetzung von Fahrzeugen vorangetrieben. Im Zentrum dieses Paradigmenwechsels steht die ASIL-Dekomposition (Automotive Safety Integrity Level), ein zentraler Baustein der ISO 26262.

Sie ermöglicht es, Sicherheitsanforderungen präzise auf Komponenten und Subsysteme aufzuteilen, sodass Modularität, Kosteneffizienz und Normkonformität in Einklang gebracht werden können. Damit eröffnet die ASIL-Dekomposition Ingenieuren und Managern neue Möglichkeiten, technische Exzellenz und wirtschaftliche Effizienz zu vereinen.

Was ist ASIL-Dekomposition und wie funktioniert sie?

ASIL definiert vier Sicherheitsstufen – von ASIL A (niedrig) bis ASIL D (hoch). Die Einstufung erfolgt auf Basis einer Risikoanalyse, die drei Parameter berücksichtigt:

• Schweregrad (Severity),
• Exposition (Exposure)
• Beherrschbarkeit (Controllability)

Der Schweregrad beschreibt die potenziellen Folgen eines Fehlers für den Fahrzeuginsassen oder andere Verkehrsteilnehmer. Er bewertet, wie schwerwiegend eine mögliche Verletzung infolge eines Fehlverhaltens eines Systems wäre. Die typischen Abstufungen reichen hier von S0 (keine Verletzung) bis S3 (lebensbedrohliche oder tödliche Verletzungen).

Tasking, Andes und MachineWare kooperieren

Automotive

ASIL-konforme Automotive-Chips schneller entwickeln

Tasking, Andes und MachineWare kombinieren ihre Produkte, um die Einführung von RISC-V-basierenden SoCs im Automobilbereich voranzutreiben. Das gemeinsame Toolset ermöglicht die frühe Firmware- und MCAL-Entwicklung.Hier erfahren Sie, wie ein Toolset die frühe Firmware- und MCAL-Entwicklung ermöglicht.

Die Exposition bewertet, wie häufig eine gefährliche Situation überhaupt auftreten kann, also wie oft sich ein Fahrzeug in einem Betriebszustand befindet, in dem ein potenzieller Fehler sicherheitsrelevant wird. Typische Abstufungen gehen von E0 (praktisch nie) bis E4 (sehr häufig, nahezu ständig).

Die Beherrschbarkeit beschreibt, wie gut der Fahrer oder andere Verkehrsteilnehmer in der Lage wären, eine gefährliche Situation zu kontrollieren oder ihr auszuweichen. Sie geht von C0 (voll beherrschbar) bis C3 (wahrscheinlich nicht beherrschbar).

Die Dekomposition erlaubt es, eine Funktion, die ursprünglich als ASIL D klassifiziert wurde, in mehrere Subfunktionen aufzuteilen, die jeweils auf einem niedrigeren ASIL-Level implementiert werden.

Wichtig dabei: Die resultierende Architektur muss funktional gleichwertig und unabhängig abgesichert sein. Dies geschieht durch Diversität, Redundanz und Rückwirkungsfreiheit.

Wie wird funktionale Sicherheit nach ISO 26262 erreicht?

Die Norm ISO 26262 beschreibt fünf mögliche Dekompositionsschemata. Besonders praxisrelevant ist: ASIL B + ASIL B = ASIL D (Bild 1).

Welche Praxisbeispiele zeigen den Nutzen?

Bremsregelsysteme (ABS/ESC)
Bremsregelsysteme gehören zu den sicherheitskritischsten Funktionen moderner Fahrzeuge. Über redundante Steuerpfade – z. B. zwei unabhängig arbeitende Softwarelogiken zur Druckregelung auf ASIL B-Niveau – kann durch Dekomposition die ASIL D-Anforderung erfüllt werden. Dies senkt den Entwicklungsaufwand ohne Sicherheitsverlust.

Fahrerassistenzsysteme (ADAS)
In Systemen wie Spurhalteassistent oder Notbremsassistent wird ASIL-Dekomposition genutzt, um bildverarbeitende Algorithmen (ASIL A–B) mit Entscheidungslogik (ASIL C–D) zu kombinieren. Kritisch ist dabei die getrennte Validierung der Datenpfade und die Echtzeitüberwachung durch unabhängige Sicherheitsinstanzen.

Interview mit Dr. Thomas Irawan und Tobias Friedrich, ETAS

Automotive

Das SDV ist schon da – jetzt wird es mit KI entwickelt

Safe (funktionssicher) und secure (cybersicher) muss die Software im SDV sein. KI hebt die Entwicklungseffizienz auf ein neues Niveau. AUTOMOBIL-ELEKTRONIK sprach mit Dr. Thomas Irawan, CEO ETAS, und Tobias Friedrich, Chief Product Manager, ETAS.Hier erfahren Sie, wie KI die Entwicklungseffizienz beim SDV auf ein neues Niveau hebt.

Steuergeräte für Antriebssteuerung (Powertrain ECU)ASIL D-Funktionen wie die Drehmomentregelung lassen sich in Subkomponenten zerlegen: z. B. ein ASIL B-Algorithmus für die Solldrehzahlermittlung und ein zweiter ASIL B-Pfad für die Aktuatorüberwachung. Bei geeigneter Architektur entsteht ein ASIL-D-konformes Gesamtsystem.

Hochautomatisiertes Fahren (Level 3/4)
In zonalen Architekturen mit zentraler Recheneinheit (High-Performance Controller) werden Funktionen unterschiedlicher Kritikalität integriert. Die ASIL-Dekomposition ermöglicht hier die Koexistenz sicherheitskritischer Fahrentscheidungen mit weniger kritischen Komfortfunktionen, unter Nutzung von Hardware-Support wie MPUs oder Hypervisors zur Isolation.

SafeTpack als Referenz für skalierbare Sicherheit

Im SafeTpack-Projekt der Hitex GmbH wurde ein SEooC (Software Element out of Context) entwickelt, das verschiedene generische Sicherheitsfunktionen unabhängig von der Anwendung abbildet. Es implementiert mehrere anwendungsunabhängige Softwareanforderungen, die dem AURIX TC3xx Mikrocontroller zugeordnet sind und im Sicherheitsmanual des AURIX TC3xx als ESM/SMC aufgeführt sind. Darüber hinaus implementiert es mehrere anwendungsunabhängige Softwareanforderungen, die im Sicherheitsmanual Externer Watchdog Controller spezifiziert sind.

Das SafeTpack-Produkt enthält die folgenden Softwarepakete:

• SafeTpack-Basic: Dieses Paket umfasst die Testmodule zur Implementierung der ESMs/SMCs.
• SafeTpack-WD: Dieses Paket enthält die Watchdog-Module für die logische und zeitliche Überwachung.
• SafeTpack-TLF35584Test: Dieses Paket beinhaltet die Starttests für den TLF35584.
• SafeTpack-PFM: Dieses Paket enthält die Funktionen zur Überwachung des Programmflusses.

Das ASIL-B(D)-Framework funktioniert wie folgt: Der ESM-Test, der als ESM[SW]:CPU:SFR_Test bezeichnet wird, erfüllt die ASIL-D Kriterien, wie durch die Risikoanalyse von SafeTpack bestimmt. Während der Start- und Betriebsphasen führt ein SafeTpack-Modul den ESM-Test im Rahmen der SFR-Vergleichslogik und der SFR-CRC Logik durch, die beide auf dem ASIL-B Level durchgeführt werden. Dadurch wird eine ASIL-Dekomposition auf der SafeTpack Basic geschaffen, die als ASIL-B(D) kategorisiert wird (Bild 2).

Save the date: 29th Automobil-Elektronik Kongress

The 29th International Automobil-Elektronik Kongress (AEK) will take place in Ludwigsburg on 24 and 25 June 2025. This networking congress has been the meeting place for top decision-makers in the electrical/electronics industry for many years and now brings together automotive executives and the relevant high-level managers from the technology industry to jointly enable the holistic customer experience required for the vehicles of the future. Despite this rapidly increasing internationalisation, the Automobil-Elektronik Kongress is still described by attendees as a kind of "automotive family reunion".

Secure your Conference Ticket(s) for the 29th Automobil-Elektronik Kongress (AEK) in 2024! Remember that the event has always been sold out for many years. Also, follow AEK's LinkedIn and check out #AEK_live.

In the channel of the Automotive Electronics Congress you will find reviews and preliminary reports as well as relevant topics around the event.

Bei SafeTpack werden ESM-Testanforderungen auf ASIL-D Level spezifiziert und die Implementierung der SFR Compare Logic und SFR CRC Logic Komponenten gemäß einem ASIL-B Prozess durchgeführt.

was sind die technischen Voraussetzungen für die Umsetzung?

Voraussetzung für die ASIL-Dekomposition sind Komponenten, die nicht identisch implementiert sind, aber die gleichen ASIL-Anforderungen erfüllen müssen. Dies wird durch Diversität und Redundanz erreicht. Zum Beispiel, wenn zwei Komponenten nach einem ASIL-B Prozess entwickelt wurden, die beide (jede auf ihre Art) die ASIL-D Anforderung implementieren. In diesem Prozess ist das ASIL-Dekompositionsschemata: ASIL-B + ASIL-B = ASIL-D implementiert (Bild 3, Bild 4).

Es besteht die Möglichkeit, dass jede Komponente einen systematischen Softwarefehler verursachen könnte. Da beide ASIL-B Komponenten die ASIL-B(D) Anforderungen erfüllen, aber nicht identisch sind, wäre auch der systematische Fehler der beiden Komponenten nicht identisch. Dies wird Redundanz genannt. Die ASIL-B Komponente 1 und die ASIL-B Komponente 2 müssen eine unterschiedliche Datenkonfiguration haben. Test_1 und Test_2 müssen unabhängig voneinander implementiert sein.

Rückwirkungsfreiheit (Freedom from Interference)

Rückwirkungsfreiheit bedeutet, dass die Software-Komponente 1 nicht von einer Software-Komponente beeinflusst wird, die mit einem niedrigen Integrity Level entwickelt wurde. Eine häufige Maßnahme zur Erkennung von Datenverletzungen ist die Speicherschutzeinheit. Es hilft, den systematischen Fehler zu entdecken und Sicherheitsverletzungen auf einem anderen Sicherheitslevel zu verhindern.

Speicherschutzeinheit (Memory Protection)

Eine der Maßnahmen zum Schutz des Systems vor systematischen Fehlern auf verschiedenen ASIL-Leveln Komponenten ist eine Speicherschutzeinheit.

Gemischte Kritikalität bei der Entwicklung von eingebetteter Software ist das Konzept, Software mit unterschiedlichen Kritikalitätsstufen in derselben elektronischen Steuereinheit (ECU) interagieren und koexistieren zu lassen.

Eine gängige Lösung besteht daher darin, diese Fehler zu erkennen und entsprechend darauf zu reagieren. Dies wird bereits in einer Hardware Memory Protection Unit (MPU) unterstützt. Wenn die Anwendung in verschiedene Safety Integrity Levels (SIL) unterteilt ist, überwacht die MPU zur Laufzeit unerlaubte Speicherzugriffe. Tritt ein unerlaubter Zugriff auf, kann das System versuchen, sich selbst in einen sicheren Zustand zurückzusetzen.

Wirtschaftliche Effekte durch systematische Analyse

ASIL-Dekomposition ist nicht nur sicherheitstechnisch sinnvoll – sie wirkt sich direkt auf die Entwicklungskosten aus. Im SafeTpack-Projekt konnten durch gezielte Auswahl des Dekompositionsschemas und Zuverlässigkeitsberechnungen nach Poisson-Verteilung die Projektkosten um 28,8 % reduziert werden.

Nach ISO 26262 ist Zuverlässigkeit (Z) definiert als die Wahrscheinlichkeit (W), dass die Ausführung erfolgreich ist. Zuverlässigkeit ist der umgekehrte Ausdruck der Exposition.

Das genannte Automotive-Projektbeispiel zur ASIL-Dekomposition umfasst mehrere Softwarekomponenten auf verschiedenen ASIL-Levels mit einem Budget von 375.000 Euro.

Basierend auf der WCET-Zeit DAG-Funktionsverteilung pro Task auf den CAN-Clustern der Softwarekomponenten wird die Zuverlässigkeit (Bild 6) jedes ASIL- Dekompositionsschemas für jeden Task basierend auf der Poisson-Verteilung berechnet.

Die Entwicklungskosten für jede Aufgabe und jede Softwarekomponente im Projekt werden vorab kalkuliert. Die Definition des richtigen ASIL- Dekompositionsschemas im Hinblick auf die Berechnung der minimalen Entwicklungskosten (der Mindestwert für jede Aufgabe) und der minimalen Entwicklungskosten mit Zuverlässigkeitsziel (unter Berücksichtigung der Zuverlässigkeit jeder Aufgabe) findet sich Bild 7.

Nach ASIL-Dekomposition und Implementierung von MEKZ haben wir im Automotive-Projekt 28,8 % Entwicklungskosten eingespart

Ein systematischer Vergleich der Entwicklungskosten vor und nach Dekomposition zeigt: Die Kombination aus modularer Entwicklung und differenzierten Verifikationsanforderungen führt zu signifikanten Einsparungen – insbesondere bei wiederverwendbaren Komponenten.

Fazit

Die ASIL-Dekomposition ist weit mehr als ein methodischer Kniff. Sie ist ein leistungsfähiges Werkzeug zur Realisierung sicherer, effizienter und skalierbarer Embedded-Systeme im Automobilbereich. Richtig eingesetzt, ermöglicht sie:

• eine zielgerichtete Verifikation kritischer Funktionen,
• eine erhöhte Wiederverwendbarkeit von Softwarekomponenten,
• sowie eine erhebliche Reduktion der Entwicklungs- und Testkosten.

In einer Zeit, in der Fahrzeugsoftware immer komplexer wird und Elektronikarchitekturen sich radikal wandeln, ist die ASIL-Dekomposition ein zukunftsweisender Ansatz – sowohl technisch als auch wirtschaftlich. (bs)