PDF-Ausgabe herunterladen (28.5 MB) - elektronikJOURNAL

Weitere Magazine

Empfehlungen

Info

Safety Bild 3: Der gleiche Erfüllungsgrad kann zu unterschiedlichen Gesamtbewertungen führen, wie diese drei Maßnahmen aus ISO 26262 bei ASIL A zeigen. Qualicat berechnet von unten nach oben die Bewertung der Knoten der Zwischenebenen im Baum bis hinauf zur Wurzel, die der Gesamtbewertung aller Maßnahmen entspricht. Falls die Gesamtbewertung die Konformität eines Produkts zu einem Standard darstellt, ergibt sich das Gesamtergebnis durch den Vergleich des errechneten Werts mit einem vorgegebenen Ziel. Der Zielwert hängt von der Kritikalität des Produkts ab, also von der zu erreichenden Sicherheitsstufe (SIL). Er liegt zwischen 0 und 1; bei IEC 61508 beispielsweise verlangt Qualicat für SIL 2 den Zielwert 0,7. Das Werkzeug zeigt errechnete Bewertungen und zugehörige Zielwerte an (Bild 5). Beispielsweise gilt für die Maßnahme „Use of naming conventions" der Zielwert 0,42; die erreichte Bewertung liegt wegen „major deficiencies" bei 0,3. Trotzdem ist die errechnete Gesamtbewertung für alle drei Maßnahmen mit dem Wert 0,81 besser als der vorgegebene Zielwert von 0,6. Dies liegt an den guten Bewertungen der anderen beiden Maßnahmen. Kein Teufelskreis Die Bewertung der Maßnahmen und Maßnahmenmengen präsentiert Qualicat zudem als farbiges Kreisdiagramm (Bild 4). Im äußersten Ring sind die Maßnahmen und ihre Bewertung aufgeführt, die inneren Ringe stehen für gebündelte Maßnahmen (also die Knoten der Zwischenebenen des Baums), der Kreis in der Mitte symbolisiert die Gesamtbewertung. Die verwendeten Farbschattierungen reichen von rot (nicht erfüllt, Bewertung kleiner als Zielwert) über orange und gelb (Bewertung entspricht Zielwert) nach grün (erfüllt, Bewertung größer als Zielwert). Grau bedeutet (noch) nicht bewertet. Die Farbsymbolik zeigt auf einen Blick den Zustand des Gesamtprojekts und hebt Problemstellen hervor. Bild 4: Das farbige Kreisdiagramm schlüsselt die Bewertung eines Projekts (hier: nach ISO 26262) in Maßnahmengruppen und einzelne Maßnahmen (äußerster Ring) auf. Das Beispiel in Bild 3 zeigt, wie sich Änderungen an den drei Maßnahmen aus Bild 2 auswirken: Gleiche Erfüllungsrade bei unterschiedlichen Maßnahmen führen zu unterschiedlichen Gesamtbewertungen. Wie in Bild 2 bezieht sich das Beispiel auf ISO 26262, ASIL A. Qualicat setzt den Zielwert der Gesamtbewertung auf 0,6. Zunächst sind alle Maßnahmen mit „kaum erfüllt" (Major Deficiencies) bewertet, woraus Qualicat die Gesamtbewertung 0,6 errechnet (oberer linker Teil von Bild 5). Die rechte Spalte in Bild 3 zeigt die graphische Bewertung: Der äußere Ring des Kreises ist in drei Segmente unterteilt, welche den drei Maßnahmen entsprechen (links oben Defensive Implementation in grün; rechts oben Naming Conventions in orange; unten Style Guides in gelb). Gleiche Ursache, unterschiedliche Folge Obwohl alle drei Maßnahmen gleich schlecht erfüllt sind, unterscheiden sich ihre Farben: Das resultiert aus der unterschiedlichen Verbindlichkeit (Possible, Recommended, Highly Recommended) auf ASIL A. Die inneren Ringe des Kreisdiagramms sind nicht segmentiert, da im Beispiel nur die Maßnahmen des Knotens „Design & Coding Guidelines" betrachtet werden. Die Farbe der inneren Bild 5: Der Anwender bewertet den Erfüllungsgrad einzelner Maßnahmen in Qualicat isoliert voneinander. Das Beispiel hier zeigt einen Teil der ISO 26262. 50 <strong>elektronikJOURNAL</strong> 01/2012 www.elektronikjournal.com
Ringe und des Kreises in der Mitte ist gelb, da die errechnete Gesamtbewertung mit dem Ziel 0,6 übereinstimmt. Die mittlere Zeile von Bild 3 zeigt die Situation, in der die Bewertung von Defensive Implementation von „kaum erfüllt" auf „zufriedenstellend erfüllt" geändert ist. Dies sorgt zwar für eine Farbänderung der Maßnahme selbst von hellgrün auf dunkelgrün, bewirkt aber keine Änderung der Gesamtbewertung! Ein Unterschied ergibt sich allerdings, wenn man stattdessen die Bewertung der Maßnahme Style Guides von „kaum erfüllt" auf „zufriedenstellend erfüllt" ändert (Bild 3, untere Zeile). Dadurch erhält zunächst die Maßnahme selbst eine höhere Bewertung (0,7) als der betreffende Zielwert (0,3) und wird deshalb grün dargestellt. Weiterhin berechnet Qualicat die Gesamtbewertung 0,81, also besser als der (Gesamt-) Zielwert von 0,6. Alle inneren Ringe und der innere Kreis im Diagramm sind daher ebenfalls grün. Das Beispiel zeigt, dass für das Gesamtergebnis die Maßnahme Style Guides wichtiger ist als die Maßnahme Defensive Implementation. Das ist nicht ohne Weiteres vorauszusehen, selbst bei diesem überaus simplen Beispiel. Man könnte zudem den Erfüllungsgrad der dritten Maßnahme (Naming Conventions) sowie den ASIL variieren. Bei modifiziertem ASIL würden sich auch der Gesamtzielwert sowie die Zielwerte der einzelnen Maßnahmen ändern, weil sich deren Verbindlichkeiten je nach ASIL unterscheiden. Realistische Anwendungen umfassen mehrere hundert Maßnahmen; ohne Werkzeug wäre es kaum möglich, die Auswirkung der Änderung des Erfüllungsgrades einer einzelnen Maßnahme auszurechnen. Rechen-Künstler Im Algorithmus, der die Bewertung von unten nach oben berechnet, liegt der Kernnutzen von Qualicat. Die Grundlage dazu entstand im Forschungs- und Entwicklungsprojekt Venus. Die Forscher hatten einen Prototyp erstellt, gegen den Qualicat im Back-to-Back-Test qualifiziert wurde. Die Ergebnisse von Qualicat wurden auch mit den Bewertungen von (menschlichen) Prüfern für reale Projekte verglichen und Algorithmus sowie die genutzen Koeffizienten angepasst. Man kann davon ausgehen, dass die von Qualicat ermittelten Bewertungen ziemlich nahe bei den Bewertungen liegen, die erfahrene menschliche Prüfer bei der Zertifizierung von sicherheitskritischen Produkten ermitteln, wenngleich es diese nie zu 100 % treffen kann. Qualicat ermöglicht es, die Konformität zu verschiedenen Stan- www.elektronikjournal.com Projekt3 25.01.2012 9:50 Uhr Seite 1 Safety dards systematisch und nachvollziehbar zu beziffern. Hierbei bewertet und bündelt das Tool je nach Projekt hunderte von Maßnahmen, die mehr oder weniger vollständig erfüllt sind. Qualicat eignet sich nicht nur am Ende eines Projekts zu einer Eigenbewertung (Self-Assessment) vor der offiziellen Zertifizierung, sondern auch für projektbegleitende Eigenbewertungen. Dadurch lässt sich das Projekt besser steuern: Das Tool hilft, herauszufinden wie man seine Ressourcen sinnvoll einsetzt und Maßnahmen mit einem guten Kosten-Nutzen-Verhältnis findet. Weiterhin kann Qualicat zum Qualitätsvergleich zwischen verschiedenen eigenen Projekten oder Produkten dienen. (lei) n Die Autoren: Frank Büchner ist Senior Test Engineer bei Hitex Development Tools in Karlsruhe und Dr. Günter Glöe ist Geschäftsführer der CATS Software Tools in Hamburg.
Seite 1 und 2: www.elektronikjournal.com Das Theme
Seite 3 und 4: Sparsamer Entwickler www.elektronik
Seite 5 und 6: 56 Service 03 Editorial 66 Impressu
Seite 7 und 8: Verdoppelte Leistung. Halbierter Ve
Seite 9 und 10: Immerhin eine Marktentwicklung brin
Seite 11 und 12: Embedded-Prototyping Traditionelle
Seite 13 und 14: Busstrukturen lassen sich mit Ether
Seite 15 und 16: www.elektronikjournal.com Mikrocont
Seite 17 und 18: Bild: Microchip www.elektronikjourn
Seite 19 und 20: sowie integrierte Delta-Sigma-Demod
Seite 21 und 22: Ein LISN nach dem EMV-Standard CISP
Seite 23 und 24: Bild: Fortec www.elektronikjournal.
Seite 25 und 26: Bild 1, links: Der Eingangskreis de
Seite 27 und 28: Bilder: Atmel Stiften gehen Die Ren
Seite 29 und 30: www.elektronikjournal.com Peripheri
Seite 31 und 32: Bild: Insys Icom Bild: Ixxat Einfac
Seite 33 und 34: Ihr kostenloses Ticket unter www.al
Seite 35 und 36: www.elektronikjournal.com Module In
Seite 37 und 38: @ Oft kopiert - doch nie erreicht:
Seite 39 und 40: Ports können jetzt auch als PCI Ex
Seite 41 und 42: Bilder: Kontron fangen bei extrem s
Seite 43 und 44: Unsere nsere Medienpartner und Spon
Seite 45 und 46: Auf einen Blick www.elektronikjourn
Seite 47 und 48: mit geeigneten Metriken auch als So
Seite 49: ASIL-C „highly recommended" sind.
Seite 53 und 54: Bilder: Lynuxworks Bild 1: Das p-RT
Seite 55 und 56: Im grünen Bereich Auf Safety und S
Seite 57 und 58: chenintensive Teile von Algorithmen
Seite 59 und 60: Bild: Lauterbach Dicht auf der Spur
Seite 61 und 62: sparender Peripherie ausgestattet,
Seite 63 und 64: MPI ein eingetragenes Warenzeichen
Seite 65 und 66: Bild 1: Mit einem eigenen Tool erst
Seite 67 und 68: „Heben Sie ab, z.B. mit einem bes

PDF-Ausgabe herunterladen (28.5 MB) - elektronikJOURNAL

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?