Derzeit sind Automobilhersteller und Zulieferer bestrebt, ihre Prozesse an die in der ISO 26262 publizierten Anforderungen zur Analyse der Funktionalen Sicherheit (FuSi) anzupassen. Unter diesem Gesichtspunkt hat General Motors seine Entwicklungsprozesse bereits um entsprechende sicherheitsgerichtete Aktivitäten angereichert. Dabei wurde die Notwendigkeit identifiziert, Durchgängigkeit, Nachverfolgbarkeit (Traceability) und Konsistenz zwischen sicherheitsgerichteten Arbeitsprodukten zu gewährleisten. Vor diesem Hintergrund erprobte GM die integrierte Werkzeuglösung „Medini Analyze“ als Repräsentant für modellbasierte Lösungen zur Sicherheitsanalyse nach ISO FDIS 26262.
Erwartungen
Dabei hatte man diverse Erwartungen, zu denen unter anderem eine durchgängige Traceability und Gewährleistung der Konsistenz zwischen allen Elementen der zu erzeugenden Arbeitsprodukte genauso gehörten wie die Unterstützung eines strukturierten, an GM angepassten Prozesses zur Erhebung, Analyse und Pflege von Sicherheitsanforderungen oder die Analyse der Auswirkung von Änderungen. Auch die Bereitstellung von Katalogen und nachnutzbaren Projekttemplates, die integrierte Unterstützung von detaillierten Analyseverfahren wie Gefährdungsanalyse, FTA und FMEDA standen auf der Liste der erwarteten Features.
Status Quo bei GM
GM/Opel setzt zur Entwicklung fahrzeugspezifischer Funktionen eine Werkzeugkette ein, die auf der IBM-Teamplattform Rational Jazz und der Rational-Tool-Chain basiert. Die Teamplattform Jazz basiert auf der Eclipse-Plattform, die IBM im Jahr 2004 der Open Source Community über die Eclipse Foundation zur Verfügung stellte. Kernkomponenten der Rational-Tool-Chain, die bei GM/Opel Einsatz finden, sind DOORS für das Anforderungsmanagement, Rational Team Concert für das Änderungsmanagement sowie Rhapsody als Modellierungswerkzeug. Aus Sicht von GM/Opel muss sich ein Werkzeug für die Funktionale Sicherheit in diese Landschaft integrieren, so dass Durchgängigkeit, Traceability und Konsistenz sowohl zwischen den sicherheitsgerichteten Arbeitsprodukten als auch zu den weiteren Arbeitsprodukten gewährleistet werden kann.
Zur Entwicklung sicherheitsrelevanter Funktionen setzt GM/Opel den „GM System Safety Engineering“-Prozess (SSEP) ein (Bild 1).
Bei der Auswahl der Werkzeuge zur Unterstützung einzelner Aktivitäten innerhalb des SSEP verfolgt man historisch einen „Best-in-Class“-Ansatz. Beispielhaft sei hier die Fehlerbaumanalyse (FTA) genannt, für die FaultTree+ der Firma Isograph zum Einsatz kommt. Dieses Werkzeug deckt jedoch die Anforderungen nicht vollständig ab.
Pilotierung der Werkzeuglösung
Das Werkzeug Medini Analyze von IKV++ Technologies unterstützt Sicherheitsexperten entlang des gesamten Entwicklungsprozesses bei der Erstellung sicherheitsbezogener Arbeitsprodukte. Dies umfasst die Gefahrenanalyse und Risikobewertung (G+R) einschließlich ASIL-Einstufung, die Ableitung von Sicherheits-Zielen und -Anforderungen aber auch Analysen des Entwicklungsdesigns mittels FMEDA, FTA und Hardware-Metriken (Single Point Fault und Latent Fault Metrik).
Darüber hinaus bietet das Werkzeug durchgängige Traceability und Konsistenzprüfungen für Sicherheitsanalysen und Systemmodelle. Zu diesem Zweck gibt es diverse Schnittstellen mit anderen Werkzeugen wie beispielsweise MATLAB/Simulink von Mathworks, DOORS von IBM Rational, Rhapsody, Microsoft Excel aber auch CMS-Systeme wie SVN oder MKS Integrity. Basierend auf der Eclipse-Plattform realisiert Medini Analyze das Single-Source-of-Information-Prinzip mit Hilfe eines modellbasierten Ansatzes. Dies ermöglicht dem Nutzer die Einnahme verschiedener Sichten und Visualisierungen des gesamten Informationsbestandes inklusive einer globalen Suche und Abhängigkeitsanalyse zwischen den verschiedenen Arbeitsergebnissen.
Analyse in früher Projektphase
Bei dem hier präsentierten Pilotierungsprojekt kam Medini Analyzezur Analyse der Funktionalen Sicherheit für das Feature „Lane Centering Assistance“ in einer frühen Projektphase zum Einsatz. Zunächst erfolgte dazu die Abbildung des GM-Sicherheitsprozesses und insbesondere der Dokumenten-Templates auf das Werkzeug. Dabei ließen sich die erforderlichen Anpassungen größtenteils durch den flexiblen Konfigurationsmechanismus des Werkzeugs erreichen (Profilmechanismus, Generierungstemplates).
Anschließend erfolgten der Import sowie die Eingabe bereits existierender FuSi-Daten des Projektes in das Werkzeug. Hierzu zählen die G+R, die Sicherheitsziele und Sicherheitsanforderungen, die Architekturmodelle und das funktionale Sicherheitskonzept, eine SEFA (Single Element Fault Analysis) als spezifische FMEA sowie auch eine qualitative FTA. Da die Ingenieure die Sicherheitsanalyse für das oben genannte Feature bereits ohne Werkzeugunterstützung begonnen hatten, lag der Schwerpunkt des Pilotierungsprojektes auf der Durchführung einer Konsistenzprüfung der existierenden Daten sowie auf der Erstellung der bis dato fehlenden Traceability. Zusätzlich erfolgte eine qualitative Auswertung im Hinblick auf werkzeugbedingte Verbesserungen während der Sicherheitsanalyse.
Ergebnisse der Pilotierung
Zunächst zeigte sich, dass das Werkzeug die Erstellung der vom GM SSEP geforderten Arbeitsprodukte effektiv unterstützt, indem es unter anderem den Benutzer sukzessiv durch die Erhebung der erforderlichen Daten führt und dabei durch die Integration mit bestehenden Werkzeugumgebungen (hauptsächlich Excel, DOORS) unterstützt. Ein unnötiges Hin- und Herwechseln zwischen verschiedenen Werkzeugen ist somit nicht erforderlich, während der Migrationspfad via Importschnittstellen den Einstieg und die Nutzung von existierenden Daten erleichtert.
Medini Analyze
Das Pilotprojekt zeigte, dass ein integriertes Werkzeug wie Medini Analyze die Konsistenz und Qualität der FuSi Arbeitsprodukte wirkungsvoll erhöhen kann. Eine Effizienzsteigerung ist nach der Lernphase abzusehen, insbesondere durch die Automatisierung vieler Aufgaben hinsichtlich Traceability, Konsistenzprüfungen sowie Workflow-Unterstützung. Aus den bisherigen Erfahrungen auch in weiteren einzelnen Projekten erwartet GM „eine deutliche Verbesserung bei einer unternehmensweiten Einführung einer derartigen integrierten Werkzeuglösung zur Unterstützung des GM-SSE-Prozesses, bei der Medini Analyze ein vielversprechender Kandidat ist“.
Für die Qualitätssteigerung besonders hervorzuheben ist die Prävention von Fehlern während der Erstellung der Arbeitsprodukte durch spezifische Editoren, die ein strukturiertes Vorgehen sowie die inhaltliche Überprüfung unterstützen. Standardisierte Auswahlmöglichkeiten und Konsistenz durch referentielle Integrität gewährleisten eine hohe Qualität der Arbeitsprodukte schon während der Erstellung. So entdeckten die Ingenieure mit dem Werkzeug in den initialen Arbeitsprodukten beispielsweise falsche Zuordnungen bei der ASIL-Bestimmung und fehlende Elemente in der FMEA aufdecken. Derartige Fehler lassen sich bei den zuvor genutzten Excel-Templates nur mit unverhältnismäßig hohem (manuellen) Aufwand feststellen, da alle Informationen über mehrere Dokumente verteilt abgelegt sind und eine inhaltliche Prüfung durch Excel nicht möglich ist.
Als drittes wichtiges Ergebnis sei die Unterstützung der ISO-26262-Anforderungen an eine Nachverfolgbarkeit zwischen allen sicherheitsbezogenen Arbeitsprodukten wie auch zu den Systemmodellen durch Medini Analyze genannt. Dies umfasste im Projekt zum Beispiel Gefährdungen, Sicherheitsziele und -anforderungen, FTA, FMEA sowie die Allokationen von Anforderungen und ASIL-Klassifikationen zum Systemdesign. Zudem steigerte die vom Werkzeug angebotene Visualisierung der Abhängigkeiten das Verständnis dafür, welche Anforderungen miteinander zusammenhängen und welchem Sicherheitsziel sie dienen. Diese Zusammenhänge konnten die Ingenieure sowohl graphisch als auch tabellarisch darstellen – beispielsweise als Matrix.
Dr.-Ing. Manfred Schölzke und Michael Soden
(av)