ISO-26262-Funktionale-Sicherheitszertifizierung für Automobilelektronik-OEM
ISO 26262 ASIL-Ebenen A–D, HARA, PMHF/SPFM-Metriken, Kosten ($50k–500k+) und Bewertung chinesischer Lieferantenangaben. Praktischer Leitfaden für Automobilelektronik-Käufer.
ISO 26262 ist der Automobilindustrie-Funktionale-Sicherheitsstandard für elektrische und elektronische Systeme in Straßenfahrzeugen. Er definiert einen Rahmen für das Management des Risikos, dass eine Fehlfunktion in E/E-Hardware oder -Software zu einem Fahrzeugunfall beitragen könnte. Für Käufer, die Automobilelektronik aus China beziehen, ist das Verständnis, was ISO-26262-Konformität tatsächlich bedeutet — und was sie ausdrücklich nicht bedeutet — kritisch, bevor eine Bestellung für ein sicherheitsrelevantes Bauteil aufgegeben wird.
Übersicht
ISO 26262:2018 (zweite Ausgabe, 12 Teile) ist von IEC 61508 abgeleitet, dem allgemeinen Funktionalen Sicherheitsstandard für elektrische/elektronische/programmierbare Systeme. Die Automobilversion fügt fahrzeugspezifische Anforderungen hinzu: eine Methodik für Gefahrenanalyse und Risikobewertung (HARA), Automobil-Sicherheitsintegritätsstufen (ASIL A bis D), Hardware-Architekturmetriken, die an zufällige Ausfallwahrscheinlichkeiten gebunden sind, und Software-Entwicklungsprozesse.
Der Schlüsselunterschied: ISO 26262 ist ein Prozess- und Entwicklungsstandard, keine Produktzertifizierungsmarkierung. Es gibt kein „ISO-26262-Etikett”, das auf einen Chip oder ein Modul gestempelt werden kann. Eine Komponente kann in Übereinstimmung mit ISO 26262 entwickelt werden (dokumentiertes Design, Analyse, Test-Artefakte), aber die endgültige ASIL-Bestimmung gilt immer für die Funktion im Systemkontext — nicht für die Komponente isoliert.
Diese Unterscheidung wird von chinesischen Lieferanten häufig falsch dargestellt, die behaupten, ihr Produkt sei „ISO-26262-zertifiziert”, wenn sie nur meinen, dass sie ein Qualitätsmanagement-Zertifikat haben (normalerweise IATF 16949) oder dass ein Drittlabor einige Tests durchgeführt hat. Keines davon ist gleichwertig.
ASIL-Stufen
ASIL (Automotive Safety Integrity Level) klassifiziert die erforderliche Risikoreduktion für ein Sicherheitsziel. Es wird während der HARA durch Bewertung von drei Parametern bestimmt:
| Parameter | Werte | Beschreibung |
|---|---|---|
| Schwere (S) | S0–S3 | Schlimmstmögliche Verletzung von Straßennutzern (S3 = Todesfälle wahrscheinlich) |
| Exposition (E) | E0–E4 | Wahrscheinlichkeit des Auftretens des gefährlichen Szenarios |
| Kontrollierbarkeit (C) | C0–C3 | Wahrscheinlichkeit, dass ein Fahrer den Unfall nicht vermeiden kann |
Die Kombination aus S, E und C ergibt ein ASIL oder „QM” (Qualitätsmanagement — keine besonderen Sicherheitsmaßnahmen erforderlich):
| S1 | S2 | S3 | |
|---|---|---|---|
| E2, C3 | ASIL A | ASIL B | ASIL C |
| E3, C3 | ASIL B | ASIL C | ASIL D |
| E4, C3 | ASIL C | ASIL D | ASIL D |
ASIL D ist die höchste Stufe, erforderlich für Funktionen wie elektronische Servolenkung, Brake-by-Wire und Airbag-Auslösung. ASIL A gilt für Funktionen mit geringerem Risiko wie Spiegelheizungssteuerung.
ASIL-Zerlegung ermöglicht die Aufteilung einer ASIL-D-Anforderung in zwei unabhängige ASIL-B-Kanäle (geschrieben ASIL B(D)), was eine gängige Architekturstrategie ist, um die Kosten vollständiger ASIL-D-Hardware auf beiden Pfaden zu vermeiden.
Wichtige technische Anforderungen
HARA (Gefahrenanalyse und Risikobewertung)
HARA wird auf Fahrzeugebene durchgeführt, nicht auf Komponentenebene. Es erzeugt Sicherheitsziele (übergeordnete Anforderungen) mit ASIL-Bewertungen. Alles Nachgelagerte — technische Sicherheitsanforderungen, Hardware-Anforderungen, Software-Anforderungen — fließt aus diesen Sicherheitszielen. Ein Lieferant, der ein „eigenständiges ASIL-D-Modul” verkauft, ohne zu wissen, wie es in der Systemarchitektur verwendet wird, verkauft auf der falschen Abstraktionsebene.
Hardware-Sicherheitsarchitekturmetriken
ISO 26262 Teil 5 definiert drei Hardware-Zufallsfehlermetriken, die für die Konformität der Hardware-Architektur erfüllt werden müssen:
| Metrik | Definition | ASIL-B-Ziel | ASIL-C-Ziel | ASIL-D-Ziel |
|---|---|---|---|---|
| PMHF (Probabilistic Metric for random Hardware Failures) | Restrisiko zufälliger HW-Fehler, die zur Verletzung des Sicherheitsziels führen | < 100 FIT | < 10 FIT | < 1 FIT |
| SPFM (Single Point Fault Metric) | Anteil der durch Sicherheitsmechanismen abgedeckten Einzelpunktfehler | ≥ 90% | ≥ 97% | ≥ 99% |
| LFM (Latent Fault Metric) | Anteil der abgedeckten latenten Fehler | ≥ 60% | ≥ 80% | ≥ 90% |
FIT = Failures In Time = Ausfälle pro 10⁹ Gerätestunden. Eine FIT-Rate von 1 bedeutet einen erwarteten Ausfall pro Milliarde Betriebsstunden.
Die Erfüllung der ASIL-D-Hardware-Metriken erfordert typischerweise redundante Signalpfade, unabhängige Diagnosenabdeckung (z.B. periodische Selbsttest-Routinen, die 99%+ latente Fehler erkennen können) und dokumentierte FMEA/FTA-Analyse auf Komponentenebene.
FMEA und FTA
FMEA (Failure Mode and Effects Analysis) listet jeden Weg auf, wie eine Komponente oder ein System ausfallen kann, und verfolgt Auswirkungen aufwärts bis zum Sicherheitsziel. Für Automobilelektronik ist eine DFMEA (Design-FMEA) für Hardware erforderlich und muss ISO-26262-Diagnosenabdeckungsklassifizierungen referenzieren.
FTA (Fault Tree Analysis) arbeitet von oben nach unten vom Sicherheitsziel, um Kombinationen von Ausfällen auf niedrigerer Ebene zu identifizieren, die es auslösen könnten. FTA und FMEA sind komplementär — FMEA findet Einzelpunktfehler; FTA findet mehrpunktabhängige Fehler.
Software (Teil 6)
ISO 26262 Teil 6 spezifiziert Software-Entwicklungsanforderungen: modellbasierte Entwicklungsnotationen, Code-Abdeckungskriterien (MC/DC-Abdeckung bei ASIL C/D), statische Analyse, Software-FMEA und Testanforderungen. ASIL-D-Software erfordert 100% MC/DC-Abdeckung und mehrere unabhängige Überprüfungen. Dies allein repräsentiert oft 60–70% der gesamten ISO-26262-Projektkosten für ein neues ECU.
AUTOSAR
Der AUTOSAR-Standard (AUTomotive Open System ARchitecture) definiert eine gemeinsame Software-Architektur für Automobil-ECUs. AUTOSAR Classic Platform und AUTOSAR Adaptive Platform enthalten Sicherheitsmechanismen, die an ISO 26262 ausgerichtet sind. Viele OEM-ECUs sind auf AUTOSAR-Stacks aufgebaut. Chinesische Lieferanten, die auf Tier-1-Automobil abzielen, behaupten oft AUTOSAR-Konformität, aber die Tiefe dieser Konformität variiert stark — verifizieren, ob der vollständige BSW-Stack oder nur die Treiberschichtanpassung gemeint ist.
Kosten und Zeitrahmen
ISO-26262-Konformität ist teuer und zeitaufwändig. Die Kosten hängen stark von ASIL-Stufe, Systemkomplexität und davon ab, ob der Lieferant von Grund auf neu beginnt oder eine bestehende Basis hat:
| Umfang | ASIL-Stufe | Geschätzte Kosten | Zeitrahmen |
|---|---|---|---|
| Einfache Komponente, bestehender Prozess | ASIL A/B | $50k–$150k | 6–12 Monate |
| ECU mit eingebetteter SW | ASIL B/C | $200k–$500k | 12–24 Monate |
| Vollständiges ECU, neue Entwicklung | ASIL D | $500k–$2M+ | 24–36 Monate |
| Nur Bewertung/Lückenanalyse | Beliebig | $20k–$80k | 2–4 Monate |
Dies sind Entwicklungskosten, keine Auditgebühren. Drittpartei-Bewertung durch TÜV SÜD, TÜV Rheinland, Dekra, Bureau Veritas oder SGS kostet $30k–$100k für einen Independent Safety Assessment (ISA)-Bericht.
Bewertung chinesischer Lieferantenangaben
Hier werden die meisten westlichen Käufer in die Irre geführt. Häufige Fehlinformationen:
„ISO-26262-zertifizierte Fabrik” — ISO 26262 zertifiziert keine Fabriken. Die einzige relevante Fabrikzertifizierung im Automobil ist IATF 16949. Eine Fabrik kann bewertet werden, als Produkte in Übereinstimmung mit ISO 26262 zu entwickeln, aber das Ergebnis ist ein Sicherheitsfall oder Bewertungsbericht für ein spezifisches Produkt, kein Fabrik-Zertifikat.
„Unser Chip hat ISO-26262-Tests bestanden” — IC-Gehäuse können für die Verwendung in ISO-26262-Anwendungen charakterisiert werden (Ausfallratendaten, Temperatur-Derating-Kurven, Diagnosenabdeckungsklassifizierung), aber ein IC selbst kann nicht „ISO-26262-zertifiziert” sein. TI, NXP und Infineon veröffentlichen Safety Analysis Reports für ihre Automobil-ICs; ein chinesisches IC-Haus, das „ISO-26262-Zertifizierung” für den IC selbst behauptet, missbraucht den Standard.
IATF 16949 als Proxy — IATF 16949 zu haben bedeutet nur, dass der Lieferant ein dokumentiertes Qualitätsmanagementsystem hat. Es sagt nichts über funktionale Sicherheitsanalyse, FMEA, HARA oder Hardware-Metriken aus. Die zwei Standards befassen sich mit völlig unterschiedlichen Bedenken.
Was tatsächlich anzufragen ist:
- Der Sicherheitsfall / Sicherheitsanalysebericht für das spezifische Produkt
- Die ASIL-Zerlegungs- und -Zuweisungsdokumentation
- Nachweis einer Drittpartei-unabhängigen Sicherheitsbewertung (ISA) durch TÜV/Dekra/BV
- FMEA- und FTA-Berichte (mindestens die Zusammenfassung, nicht Roh-Arbeitsblätter)
- Qualifikationstestdaten bei Temperaturextremen (AEC-Q100 wenn Hardware-Komponente)
Wenn ein Lieferant die Punkte 1–3 nicht vorlegen kann, ist er nicht ISO-26262-konform für ASIL-C- oder -D-Anwendungen, unabhängig von dem, was seine Marketingmaterialien sagen.
Bei der Bewertung chinesischer Lieferanten für sicherheitskritische Automobilelektronik-Programme sollte ein gründliches Fabrikaudit speziell funktionale Sicherheits-Artefakte abdecken: Hat der Lieferant dokumentierte HARA, FMEA und FTA für das zu kaufende Produkt, oder nur ein generisches IATF-16949-Qualitätszertifikat? Das sind unterschiedliche Dokumente, die unterschiedliche Risiken ansprechen, und ihre Verwechslung ist der häufigste Käuferfehler in diesem Bereich.
Bezug zu IEC 61508
ISO 26262 ist ein sektorspezifisches Derivat von IEC 61508. Die Safety Integrity Levels (SIL 1–4) von IEC 61508 entsprechen ungefähr ASIL A–D, aber die Zuordnung ist nicht eins-zu-eins. IEC 61508 wird für industrielle, Prozesssteuerungs- und Bahnanwendungen verwendet; ISO 26262 ist rein automobil. Ein Produkt, das IEC-61508-SIL-3-konform ist, ist nicht automatisch ISO-26262-ASIL-D-konform — die Hardware-Metriken und Entwicklungsprozessanforderungen unterscheiden sich.
Verwandte Ressourcen
- IATF-16949-Zertifizierung — der Qualitätsmanagementsystem-Standard, der für die Automobilkomponenten-Produktion erforderlich ist; Voraussetzung für ISO-26262-Prozessarbeit
- CAN-Bus-Module — AEC-Q100-Komponentenanforderungen, relevant für sicherheitskritische CAN-Netzwerke
- Fabrikprüf-Checkliste — wie ein Lieferantenaudit strukturiert wird, um funktionale Sicherheitsansprüche zu bewerten
- Fabrikprüfung & -verifizierung
- Automobilelektronik-Beschaffung