Präsentation

Funktionale Sicherheit in Automotive und Luftfahrt 

(ISO26262 und DO 178BC) 

Otto Alber, Peter Wittmann 

09.10.2013

Einleitung 

Modell-basierte Entwicklung bei Silver Atena 

• Erfahrung mit Modell-basierter Entwicklung seit über 10 Jahren 

• H2-Steuergerät für CleanEnergy BMW - IEC61508 SIL-3 

• A400M Triebwerksregler DO-178B Level A ( ASIL D) 

• Einsatz unterschiedlicher Entwicklungsumgebungen 

• Entwicklung eines eigenen Code Generators 

EPI Europrop International 

Seite 2 

SILVER ATENA Electronic Systems Engineering GmbH

Einleitung 

Dieser Vortrag möchte zeigen, dass … 

• der effiziente Einsatz der Modell-basierten Entwicklung Zeit und 

Kosten um ca. 25% verringert. 

• die Anschaffung eines Code-Generators allein nicht ausreicht, man 

muss die gesamte Entwicklung betrachten: Prozess, Richtlinien, 

Standards und Tool-Landschaft. Und das zu Beginn der Entwicklung 

Ausflug in die Prozesslandschaft 

• SW-Entwicklung für Luftfahrt und Automotive sich problemlos mit 

derselben Entwicklungsumgebung durchführen lässt. 

• die Qualifikation eines Code-Generators sich nur bedingt rechnet. 

Hinweis 

• Der Begriff Software in diesem Vortrag bezieht sich immer auf 

sicherheitsrelevante SW nach ASIL D 

Seite 3 


Inhalt 

• Welche Normen existieren in der Automobilindustrie und der 

Luftfahrt? 

• Kann es einen gemeinsamen SW-Entwicklungsprozess für beide 

Branchen geben? 

• Wie kann Model-basierte Entwicklung eingesetzt werden? 

• Wo kann Effizienzsteigerung erzielt werden? 

• Welchen Beitrag kann Tool Qualifikation liefern? 

Seite 4 


Welche Normen existieren in der 

Automobilindustrie und der Luftfahrt? 

Automobilindustrie: 

ISO 26262 (Nov. 2011) 

Road vehicles – Functional safety 

Betrifft 

System 

Hardware 

Software 

Luftfahrt: 

Modell-basierte Entwicklung wird in Part 6 

„Product development at the software level“ 

behandelt 

Betrifft nur 

DO-178C (Dez. 2012) 

Software 

Software Considerations in Airborne Systems 

and Equipment Certification 

Eigene Ableitung für MBD (nicht nur Autocode) 

DO-331 (Dez. 2012) 

Model-Based Development and Verification 

Supplement to DO-178C 

Seite 5 




Unterschiede und Gemeinsamkeiten 

Planung 

Planungsphase 

vor Beginn der Entwicklung 

Safety Plan 

Over. Project Plan 

Validation Plan 

Geforderte Inhalte 

der Pläne 

sehr ähnlich 

PSAC 

SDP 

SVP 

Entwicklungsmodell 

V-Modell 

V-Modell für beide 

geeignet 

Entwicklungsmodell 

nicht 

vorgegeben 

Test 

• Test nach V- 

Modell 

• SW- Unit-Tests 

erforderlich 

Abdeckung aller 

Anforderungen und 

der Struktur 

Flexible Test 

Gestaltung bei 

Einhaltung der 

Coverage Nachweise 

Seite 6 




Zulassung 

Begleitung der 

Zulassung durch 

Es existiert keine Behörde, welche 

eine Zulassung nach ISO 26262 

erteilt. 

In den ECE-Regelungen wird 

derzeit die ISO 26262 nicht 

angezogen. 

EASA für Europa 

FAA für USA 

• Mit der wichtigste Meilenstein ist das Planungsreview 

• Durch Festlegung und Abstimmung der Aktivitäten des Entwicklungsprozesses, 

Konfigurationsmanagement und Qualitätssicherung ist der Weg zur Erreichung 

der Zulassung bereits geebnet 

• Anschließend muss dieser „nur“ noch gegangen werden und man erreicht 

das Ziel mit hoher Wahrscheinlichkeit 

Seite 7 


Inhalt 


Luftfahrt? 

• Kann es einen gemeinsamen SW-Entwicklungsprozess für 

beide Branchen geben? 




Seite 8 


Kann es einen gemeinsamen SW- 

Entwicklungsprozess für beide Branchen geben? 

Planungsphase vor Start der Entwicklung 

Planungsdokumente: 

• Entwicklungsprozess 

• Entwicklungsergebnisse z.B. in Form 

eines Dokumentenbaumes 

• Anzuwendende Standards 

• Anforderungs-Standard 

• Design-Standard 

• Modellier-Standard 

• Programmier-Standard 

• Konfigurationsmanagement 

• Identifikation der 

Entwicklungsergebnisse 

• Baseline Konvention zur Identifikation 

von Entwicklungsständen 

• Qualitätssicherung 

• Methoden zur Prüfung der Einhaltung 

der Planungsdokumente 

Standards definieren 

projektübergreifend die 

Grundlagen für die Entwicklung 

• Lessons Learned 

• Best Practices 

• Firmen Know-How 

Ein Dokumentenbaum 

definiert die Beziehungen 

zwischen den Dokumenten 

Traceability für Design und 

Verifikation 

Seite 9 




V-Modell nach ISO 

1 

System 

Anforderungen 

10 

System 

Test 

2 

Komponente 

Anforderungen 

9 

Komponente 

Test 

3 

SW Anforderungen 

8 


Test 

4 

SW Architektur und 

Design 

7 

SW Integration & Test 

5 

SW Unit Design & 

Implementierung 

6 

SW Unit Test 

Seite 10 




V-Modelle im Vergleich 

1 

System 

Anforderungen 

10 

System 

Test 

1 

System 

Anforderungen 

8 

System 

Test 

2 

Komponente 

Anforderungen 

9 

Komponente 

Test 

2 

Komponente 

Anforderungen 

7 

Komponente 

Test 

3 


8 


Test 

3 

SW 

Anforderungen 

6 

SW 

Test 

4 


Design 

7 


4 

SW 

Design 

5 



6 

SW Unit Test 

5 


Seite 11 


Inhalt 


Luftfahrt? 






Seite 12 


Wo kann Model-basierte Entwicklung eingesetzt 

werden? Wo liegen Potentiale zur Effizienzsteigerung? 

Design: 

• Phase 2, 3 und 4: Modellierung von Signalflüssen 

und Signaleigenschaften (Zeitliches Verhalten) und 

Schnittstellen 

• Phase 5: Modellierung des Algorithmus 

• Phase 5: Autocode-Generierung 

Prüfungen: 

Vollständigkeit und 

Konsistenz 

Validierung der 

Schnittstellen 

Validierung der 

funktionalen 

Anforderungen: 

SW System 

Komponente SW 

Anforderungen 

1 

System 

Anforderungen 

2 

Komponente 

Anforderungen 

3 


4 


Design 

10 

System 

Test 

9 

Komponente 

Test 

8 


Test 

7 


Design 

Dokument 

5 



Testvektoren 

6 

SW Unit Test 

Seite 13 




Metriken – Automotive – ASIL-D 

Konventionelle Entwicklung 

Modell-basierte Entwicklung 

50 h/Unit 

38 h/Unit 

Kostenvorteil 25% 

8 h/Unit 

6 h/Unit 

3 


8 


Test 

6 h/Unit 

4 h/Unit 

4 


Design 

7 


16 h/Unit 

10 h/Unit 

5 



6 

SW Unit Test 

21 h/Unit 

18 h/Unit 

1 Unit ≈ 50 LoC (Lines of Code) 

Seite 14 




Iterationen 

1 2 3 

Konventionelle 

SW-Entwicklung 

50 h/Unit 

22 h/Unit 

44% 

19 h/Unit 

38% 

Korrektur 

Anforderungen 

Design 

9 h/Unit 

18% 

Korrektur 


Modell-basierte 

SW-Entwicklung 

38 h/Unit 

25 h/Unit 

67% 

8 h/Unit 

20% 

5 h/Unit 

13% 

Seite 15 


Inhalt 


Luftfahrt? 






Seite 16 


Welchen Beitrag kann Tool Qualifikation liefern? 

Aktuelle Situation 

• Automatisch generierter Code muss für die Zulassung so geprüft 

werden wie manuell erstellter Code 

• Der Code-Generator ist nicht kreativ und generiert Code immer von 

gleicher Qualität 

• Trotzdem müssen manuelle Code Reviews durchgeführt werden 

• Praxis: Der Autocode-Generator arbeitet fehlerfrei und im Review werden 

keine Fehler gefunden 

• Qualität der Code Reviews ist zumindest fragwürdig 

Seite 17 



Nutzen / Kosten 

• Was spart man sich durch die Tool Qualifikation eines Code-Generators? 

• Ausschließlich die Kosten für die manuellen Code-Reviews 

• Ca. 100€ pro Unit mit ca. 50 LoCs 

• Keine Einsparungen beim Testen 

• Was kostet die Tool Qualifikation eines Code-Generators? 

• Eigenentwicklung nach einem Sicherheitsstandard 

• Die Größe unseres intern entwickelten Code-Generators beträgt 

ca. 4.500 LoCs 

• Entsprechend den zuvor gezeigten Metriken ergibt sich ein 

Aufwand von ca. 300.000€ 

• Beschaffung eines qualifizierbaren Code-Generators 

Kosten 

150 – 300T€ 

• Kosten für einen sog. Qualifikation Kit ca. 100.000€ 

• Durchführung der Qualifikation in eigener Entwicklungsumgebung 

ca. 50.000€ 

Einsparung 

100€/Unit 

Seite 18 



Bilanz 

• Ab einer Software Größe von 1.500 – 3000 Units mit 50 LoC beginnt sich der 

Einsatz eines Qualifizierten Code-Generators auszuzahlen (inklusive 

Iterationen) 

• Unser H2-Steuergerät hat 80.000 LoC automatisch generiertem Code => 

1.600 Units mit 50 LoC 

• Zusätzlich müssen noch Wartungskosten und die Einschränkung der 

Flexibilität der Entwicklungsumgebung betrachtet werden. 

Seite 19 


Zusammenfassung 

Modell-basierte Entwicklung spart: 

• 25% Entwicklungskosten und Zeit 

Begründung: 

• Frühzeitig abgesicherte Anforderungen und einfaches Design 

• Wiederverwendung von Testvektoren 

Ausschlaggebenden Erfolgsfaktoren hierzu sind: 

• Durchgängig geplanter, dokumentierter und gelebter Entwicklungsprozess 

• Durchgängiges Testkonzept 

• Auf den Entwicklungsprozess abgestimmte Toolumgebung 

• Qualifizierte Tools: 

• Sparen Review Kosten 

• Verringern aber nicht den Testaufwand 

• Rechnen sich eher bei mehrfacher Verwendung 

Seite 20 


Vielen Dank für Ihre Aufmerksamkeit ! 

Seite 21

Präsentation

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?