Funktionale Sicherheit und der Abschied vom V-Modell: Es war schön Onboard

Die klassische Funktionale Sicherheit folgte bislang durchaus gerne dem V-Modell der Entwicklung, wogegen grundsätzlich natürlich auch wenig spricht. Jeder findet so seine Nische, und im Projektalltag bei unterschiedlichen OEMs zeigte sich über die Jahre, dass in der Regel Nischenaufgaben durch die verschiedenen Zulieferer erfüllt wurden, je nachdem, welche Position im V-Modell besetzt werden sollte.

Die bisherige Entwicklung in der Funktionalen Sicherheit beschränkte sich nicht, fokussierte sich aber auf die ISO26262 als einen der maßgeblich relevanten Standards da das gesamte Thema der sicherheitsrelevanten Onboard-Entwicklung und deren Sicherheitsaspekte eben dieser ISO folgen – die sich wiederum stark auf das klassische V-Modell stützt. Die ISO 26262 ist hierbei eine Norm, die sich mit den Sicherheitsaspekten von elektrisch/elektronischen Systemen in Fahrzeugen befasst, dies nur am Rande und arg verallgemeinert gesprochen.

Indes, mit der Zeit kommt auch der Wandel, und mit ihm neue Herausforderungen. Die neue Challenge lautet: Car2X. Systeme kommunizieren im Fahrzeug miteinander, mit der Umwelt, und die Umwelt mit ihnen. Gerade mit der Thematik automatisierten Fahrens reichen reine Onboard-Systeme nicht mehr aus, um die aktuellen Überlegungen – und auch Bedarfe – sicherheitsrelevant abdecken zu können.

Funktionale Sicherheit und die ISO 21448: Alles neu, das glänzt? Soll das überhaupt glänzen?

Wie begegnen wir – bezogen auf die Mitglieder aus dem Kosmos der Automotive-Industrie – nun also diesen neuen Herausforderungen, und wo verläuft die Grenze zwischen Cyber Security und Funktionaler Sicherheit nun?

Noch nicht in Kraft und gänzlich vollendet, versucht die ISO 21448 die Lücke zu schließen. Das Stichwort lautet „SOTIF“ – Safety of the intended Functionality“.  Damit allein lässt sich die “Vision Zero”, also das Erreichen einer Sicherheitsstufe im automatisierten Fahren, die keinerlei Personenschäden oder gar Verkehrstote mehr zulässt, sicher noch nicht erreichen. Auch ist die Norm noch eher eine „Prä-Norm“, die noch keine Freigabe besitzt.

Vor allem die Umfelderkennung spielt in dieser ISO 21448 indes eine große Rolle und verlässt somit einerseits den Bereich reiner Onboard-Systeme, und kreuzt andererseits den großen Spielraum der Cyber Security, wenngleich mit wesentlichen Unterschieden – diese sind gar so wesentlich, es ließen sich ganze Masterarbeiten darüber verfassen (dies nicht einmal rhetorisch gemeint – Studenten der Cognizant Mobility haben eben dies getan). Es sei erklärend und zugleich zusammenfassend gesagt, dass Cyber Security üblicherweise von einem Vorsatz von außen ausgeht, und zwar einem mit Schädigungsabsicht, einem Angriff gar, eine Manipulation in jedem Fall – wohingegen die Funktionale Sicherheit durchaus differenzierter an die Angelegenheit herangeht: Ein Angriff aus dem Umfeld das Fahrzeugs mag vermeintlich bleiben und eine durchweg nicht-kriminelle Ursache haben, was vor allem SOTIF aktiv berücksichtigt.

Die ISO befasst sich daher auch in hohem Maße mit Dingen außerhalb des Fahrzeugs, beispielsweise Servern, die Over-the-Air-Updates versenden, und hier befahren wir die Hoheitsgebiete der Cyber Security, siehe auch UNECE-R156 – am besten lest ihr dazu unseren ausführlichen Artikel, den ihr unter diesem Link mit einem Klick in einem neuen Fenster öffnen könnt. Generell sei erwähnt, dass es sich bei SOTIF vornehmlich um Dinge wie Umfelderkennung handelt, beispielsweise Fußgänger, andere Fahrzeuge, Hindernisse, Staus etc.), der Zusammenhang zur ISO 21448 (und ISO 24089) aber auf der Hand liegt.

Wie wichtig das Verlassen der Wohlfühlzonen ISO26262 und des V-Modells ist (auch wenn es die Onboard-Aspekte natürlich weiterhin geben wird, wenngleich mit einem deutlich breiteren Spektrum), zeigt sich an der Wichtigkeit neuer Methoden zur Umfeld- und Objekterkennung: Fußgänger müssen schließlich ab SAE-Level 4 bereits definitiv und unmissverständlich erkannt werden, und die beabsichtigte Funktion, wie beispielsweise ein Notbremsassistent, muss ohne jeden Fehler ausgelöst werden. Hierzu muss eben, Stichwort SOTIF, nicht nur die Sicherheit der Funktionalität zweifelsfrei sichergestellt werden, auch die gewaltigen Datenmengen, die bei autonomen Fahren erhoben werden, müssen sicher und schnell verarbeitet und korrekt interpretiert werden, gerade bei zeitkritischen Manövern wie dem Bremsen.

Die betreffenden Fachabteilungen zum Thema Funktionale Sicherheit der Cognizant Mobility befinden sich auch in genau diesen Bereichen bereits in Zusammenarbeit mit OEMs in Projekten und Machbarkeitsstudien, um den bestehenden, aber auch vor allem den kommenden Herausforderungen, der eingangs erwähnten soften Revolution, im Bereich der Sicherheit in und um Fahrzeuge gerecht zu werden.

Funktionale Sicherheit und Cognizant Mobility – It’s A Match!

Eine gute Revolution braucht freilich auch Protagonisten, sonst wäre es ja nur eine Zeitenwende. Diese mögen zwar rar gesät sein, im Feld der technologischen Weiterentwicklung wird es jedoch – da ist sie schon wieder: Zeit. Und zwar für einen veränderten Blickwinkel auf die Moderne, und auf den Bedarf moderner Automobil-Unternehmen. In dieser ist es im Rahmen Funktionaler Sicherheit und darüber hinaus bis auf die allgemeine Projektebene Usus, dass nur Stücke der Architektur und der automobilen Chronologie an verschiedene Partner vergeben werden, der Artikel sprach es bereits an. Diese Verteilung einzelner Häppchen an eine weitgehend spezialisierte Zuliefererindustrie führte zu einem brancheninternen Lock-In-Effekt, ähnlich dem unbeabsichtigten Phänomen in der Cloud-IT (das sicherlich hier und da nicht ungewollt ist, zumindest seitens der Anbieter. Not looking at you, Amazon…) – Fachwissen, durchaus organisch aufgeteilt und über verschiedenste Unternehmen im gemeinsamen Produkt vernetzt, ähnlich den Abteilungen einer Organisation, in der Buchhaltung, Personalabteilung und Entwickler gemeinsam auf ein positives Betriebsergebnis hinarbeiten, ohne die Aufgaben der Anderen im Detail zu erfassen. Wozu auch?

Dies ändert sich allerdings rasant – ein ganzheitlicher Ansatz ist wichtig, und seit jeher vertritt die Cognizant Mobility die Philosophie einer OEM- und Unternehmens-übergreifenden Plattform zur gemeinsamen Entwicklung – was auch Michael Römer von Kearny in unserem Interview wieder als wichtige Entscheidung kennzeichnete.

Cognizant Mobility legt daher hohen Wert auf ganzheitliche Kompetenzen, die auf der gesamten Entwicklungsebene aufbauen, um im gesamten Entstehungs- und Development-Prozess hochperformant in allen wesentlichen Bereichen automobiler Sicherheit zu operieren. Schon in der frühen Konzepthase, bis zum finalen Release of Production muss die gesamte Entwicklung aus Sicht der Sicherheit betreut werden können – wobei sich vor allem die Arbeit außerhalb des Terrains lohnt und wichtig ist, um flexibel und ganzheitlich entwickeln zu können.

Denn, wer hätte es gedacht – mag die Revolution auch noch so höflich sein und hehren Zwecken dienen, die bequemen Pfade muss man doch verlassen, um neue Technologie-Felder betreten zu können.

Kommunikation mit dem Fahrzeug – und mit dem Team: Hurra hurra, die FuSi ist da!

Wer die Projektlandschaft kennt, der kennt auch die diversen PowerPoint-Präsentationen, in denen Unternehmen Kernkompetenzen, Erfahrungen und Testimonials auffahren, um Kunden zu beeindrucken. Interessant zu beobachten: Kommunikation wird meist nur erwähnt, wenn es um Steuergeräte geht, um drahtlose Systeme, Over-the-Air-Updates – aber selten das eigene Unternehmen betreffend.

Dabei ist Kommunikation eine wesentliche Kompetenz. Der Austausch mit den Entwicklungsabteilungen, mit Stakeholdern, mit dem Team auf allen Ebenen kann kaum überbewertet werden, denn ohne in Phrasen abschweifen zu wollen: System- und Komponentenentwicklung finden nicht hinter geschlossenen Bürotüren statt, sondern sind ein Mannschaftssport. Und ja, es gibt eine Liga, und ja, es gibt Gewinner.

Funktionale Sicherheit 2022 ist eben mehr als das Positionieren und Operieren im V-Modell. Sie besteht aus funktionaler Entwicklung in den Bereiche Hardware und Software, sie arbeitet mit Systemingenieuren, Hand in Hand mit dem Functional Safety Management, um die Prozessebene sicher und komplett zu leisten. Das Systems Engineering nimmt dabei eine zentrale Rolle ein, um die Lücke zwischen Management und Entwicklung zu schließen – in vielen Unternehmen ein Problem, denn oft kennt das Safety Management zwar alle Normen, weist aber – mangels Berührung, nicht mangels Willen – zu wenig operative Entwicklungserfahrung auf für die funktionale Sicherheit. Deren Entwickler wiederum sind Profis auf ihrem Gebiet, oft mangelt es aber in der Kompetenz für die Funktionale Sicherheit – ein Schelmenstück, das sich indes lösen lässt. Die hierfür nötige Brücke zur Funktionalen Sicherheitsentwicklung lässt sich schließen, indem man Safety Engineers ausbildet, die im Rahmen des Systems Engineering das Bindeglied zwischen Prozess- und operationaler Ebene stellen. So lässt sich ein gesamtheitliches Konzept Funktionaler Sicherheit erstellen und auf Projektebene abbilden, die nicht nur eine umfassendere Betreuung und Entwicklung sicherstellt, sondern auch durch kurze Kommunikationswege Zeit und somit Investitionen schont – auch wenn freilich festzuhalten bleibt, dass Zeit und Geld zumindest nominell in Sicherheitsfragen üblicherweise eine untergeordnete Rolle spielen. Dennoch freuen sich alle Stakeholder, wenn auch hier dank Kompetenz und geordneten Strukturen Einsparungen quasi nebenbei als Plus verbucht werden können.

Funktionale Sicherheit okay – Aber was war denn nun mit Cyber Security?

Wir haben es ja schon erwähnt – durch die Weiterführung der Sicherheitsvorgaben der UN ECE und der Weitergabe an die Industrie in Form diverser Regulierungen überlappen sich die vorher weitestgehend getrennten Aufgabengebiete Funktionaler Sicherheit und der Cyber Security. Sicherlich mag die zugrundeliegende Annahme der Störung im Bereich der elektrisch/elektronischen Systeme in Sachen Intention noch unterschiedlich wahrgenommen werden, mit dem Verlassen des reinen Onboard-Bereichs und dem Feld der Umwelt-, Objekt- und Personenerkennung wachsen indes die Gemeinsamkeiten.

Vor allem durch die ISO 21434 verschmelzen die Aufgabengebiete, denen OEMs und Zulieferer unterschiedlich begegnen. Cognizant Mobility führt die Revolution nicht nur auf Platz 12 der Top 25 der einflussreichsten IT-Dienstleister auf dem Automotive Sektor mit an, sondern weiß um die existenzielle Wichtigkeit ganzheitlicher Expertise, hausintern generiert, und verstärkt daher nicht nur personell um Professionals wie Martin Böhner, sondern eröffnet einen ganzen Standort in Nürnberg, um dem Thema die angemessene Bedeutung zuzumessen – und um Weiterentwicklung sowohl für Funktionale Sicherheit als auch Cyber Security wirklich, nun, safe und secure zu gestalten.

Denn so eine Revolution macht einfach mehr Spaß, wenn sie sicher abläuft.

Für weitere Fragen empfehlen wir euch, unkompliziert Kontakt mit uns aufzunehmen, oder auch direkt mit unserem Fachbereichsleiter für Funktionale Sicherheit, Andy Stiehler, der uns auch beim Erstellen dieses Artikels behilflich war. Alternativ gibt es unser Kontaktformular, oder ihr besucht uns auf LinkedIN.