:quality(80)/p7i.vogel.de/wcms/c7/bb/c7bb5c06774e0f0dad04a48d06f23e01/leapmotor-br-c3-bcssel-2026-4096x2302v1.jpeg "Einst kamen japanische und koreanische Hersteller nach Europa. Nun folgt eine Welle neuer Marken aus China (im Bild: Leapmotor). (Bild: Wehner - VCG)")
China Automotive Insider :quality(80)/p7i.vogel.de/wcms/26/2a/262a97b050178f0e18ec1f8eaf8bc151/fortum-20plant-20in-20artern-2c-20th-c3-bcringen-2c-20einen-20recycling-hub-20zur-20herstellung-20von-20schwarzmasse-jpg-20v-d-1920x1079v1.jpeg "Schwarzmasse entsteht beim Recycling von Batterien und besteht unter anderem aus Lithium, Grafit, Kobalt, Kupfer, Nickel und Mangan. (Bild: Fortum)")
:quality(80)/p7i.vogel.de/wcms/1b/6d/1b6da70067164563cff603eb8fad4c09/0128870498v1.jpeg "Die Brüssel Motor Show hat an Bedeutung in der Branche gewonnen. (Bild: Wehner - VCG)")
:quality(80)/p7i.vogel.de/wcms/82/e0/82e0e640ed3b3ddef72464ad8e8887e6/567513617-8256x4642v1.jpeg "Ein Blick auf den Stand von Geely auf der CES 2026 am 6. Januar 2026 im Las Vegas Convention Center. (Bild: picture alliance / Anadolu | Tayfun Coskun)")
:quality(80)/p7i.vogel.de/wcms/96/79/9679a4f5f86529425af8132ab98c110e/0128919298v1.jpeg "Showcar Manta GSe Elektro-MOD (Bild: Opel Automobile GmbH)")
:quality(80)/p7i.vogel.de/wcms/d7/e8/d7e816cb2bde21545aa9ad198094577a/0128916466v2.jpeg "MAN-Zentrale in München. (Bild: MAN )")
:quality(80)/p7i.vogel.de/wcms/4b/29/4b29582a9cf2a9b5d24077ef9a7a8756/0128930410v2.jpeg "Seit Juli 2025 arbeiten Daimler Truck und Arquus für militärische Lkw zusammen. (Bild: Daimler Truck)")
:quality(80)/p7i.vogel.de/wcms/ca/3d/ca3df98512dabf8df0babb43a4cb63c0/0128893543v1.jpeg "Kia bringt im Frühjahr das neue Elektro-SUV EV2. (Bild: Wehner - VCG)")
:quality(80)/p7i.vogel.de/wcms/36/e9/36e9c360e3fd0e9f4fd551ce8a4f5224/0128826282v2.jpeg "Von links nach rechts: Sumihiro Takashima (Geschäftsführer, Director of Marketing Headquarters bei ROHM), Dr. Kazuhide Ino (Vorstandsmitglied, geschäftsführender Geschäftsführer, verantwortlich für das Power Devices Business bei ROHM), Steve Ghanayem (Präsident, US Operations, Leiter des globalen Vertriebs bei Tata Electronics) (Bild: Tata Electronics)")
:quality(80)/p7i.vogel.de/wcms/bd/fa/bdfa78365fdd84d0da53aa110177093e/0128777906v2.jpeg "Dieses Automotive-SoC-Modell nutzt modulare Chiplets und zeigt eine Zukunft, in der anpassungsfähige Designs Individualisierung, Skalierbarkeit und schnellere Innovationszyklen bieten. (Bild: IMEC)")
:quality(80)/p7i.vogel.de/wcms/e8/42/e842a11bc7527c5a660a04dbee81cef5/0128749077v1.jpeg "Neura Robotics und Bosch arbeiten zusammen bei humsnoiden Robotern und Physical AI. Im Bild: der Humanoid „4NE1“. (Bild: Neura Robotics )")
:quality(80)/p7i.vogel.de/wcms/f4/eb/f4eb1dff7418d663276b6feaef7f0824/0128863090v2.jpeg "Zwei autonome Iveco S-Way sollen ab 2026 testweise autonom in Spanien fahren. (Bild: Iveco)")
:quality(80)/p7i.vogel.de/wcms/f3/ae/f3ae390af5d7a764c2ee12a57e2ed68c/0128875081v2.jpeg "ZF Foxconn Chassis Modules fertigt in Debrecen E-Achsen für die Neue Klasse von BMW. (Bild: ZF Foxconn Chassis Modules)")
:quality(80)/p7i.vogel.de/wcms/7e/00/7e00db177b0039cfb326e5198b9fb7c5/0128895317v5.jpeg "Georg F. W. Schaeffler, Familiengesellschafter und Aufsichtsratsvorsitzender der Schaeffler AG, Artem Sokolov, CEO und Gründer von Humanoid und Klaus Rosenfeld, Vorsitzender des Vorstands der Schaeffler AG (v.l.), besiegelten die Technologiepartnerschaft auf der CES in Las Vegas. (Bild: Schaeffler/eVision Media)")
:quality(80)/p7i.vogel.de/wcms/ab/ef/abef7fb18149fbcd0d3dfc0dd3406647/0128754562v2.jpeg "Ein koordinierter Arbeitsablauf zeigt, wie humanoide Roboter reale Lageraufgaben sicher und zuverlässig autonom ausführen können. (Bild: Mentee)")
:quality(80)/p7i.vogel.de/wcms/b9/ea/b9ea5cc74ab6e72a3df51b968acb869d/spirit-ai-1585x892v1.png "Das Start-up Spirit AI hat erste humanoide Roboter bei CATL im Serieneinsatz (Bildschirmfoto aus Unternehmensvideo). (Bild: Spirit AI)")
:quality(80)/p7i.vogel.de/wcms/f9/6f/f96f782540db6dd02af4279d3982fe8b/0128846362v2.jpeg "Luftbild von Buderus Edelstahl in Wetzlar. (Bild: Buderus)")
:quality(80)/p7i.vogel.de/wcms/d5/c0/d5c03e6644e4a2d545b082b501532d1b/0128513790v2.jpeg "Tomorrow XX: Neues wegweisendes Technologieprogramm zur Dekarbonisierung aller Bauteile und Materialien eines Fahrzeugs (Bild: Mercedes-Benz AG)")
:quality(80)/p7i.vogel.de/wcms/f1/6f/f16f46735c55ab04b09a067646147386/0128579450v2.jpeg "Mittels Direktrecycling bringt BMW die Rohstoffe aus Batteriezellen mechanisch zurück in den Kreislauf. (Bild: BMW)")
ISO 26262 Norm zur funtionalen Sicherheit von Straßenfahrzeugen
Die ISO 26262 wird als Norm zur funktionalen Sicherheit von Straßenfahrzeugen die IEC 61508 für die Automobilindustrie ablösen. Dieser Beitrag ordnet die Norm zeitlich und rechtlich ein, gibt einen groben Überblick über ihre Struktur und Inhalte.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/29/5f2915584e79c/invenio-logo-rz-ohne-sub.png "invenio-Logo_RZ_ohne_Sub.png (invenio)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/e3/62e398184079a/pia-logo-rgb.png "pia-logo-rgb (PIA Automation)"){kind=logo}
Bei der ISO 26262, Functional Safety – Road vehicles, handelt es sich um eine derzeit entstehende Norm zur funktionalen Sicherheit von Straßenfahrzeugen. Seit Juli 2009 liegt sie als „Draft International Standard (DIS)“ vor. Ihre Veröffentlichung als weltweit gültiger internationaler Standard ist Mitte 2011 geplant. Ab diesem Zeitpunkt löst sie als branchenspezifische Ableitung die IEC 61508 als derzeit formaljuristisch gültige Norm für Straßenfahrzeuge ab.
Der Automobilbranche steht damit eine anwendbare Norm zur funktionalen Sicherheit zur Verfügung, die im Gegensatz zur IEC 61508 unter Beteiligung der Automobilindustrie entstanden ist und deren speziellen Belange berücksichtigt.
Dies sind beispielsweise:
- der für die Automobilbranche typische Lebenszyklus, insbesondere die durchgängige Verifikation bzw. Validation,
- die Schnittstellen bzw. die Zuweisung der Sicherheitsverantwortung bei verteilter Entwicklung teilweise über mehrere Zuliefererebenen hinweg,
- der Einsatz konfigurierbarer Software, deren Verhalten möglicherweise erst nach Serienstart durch Kalibrierdaten bestimmt wird, und
- statt des oft nicht vorhandenen Konzepts des „Equipment under control (EUC)“ die intrinsische Eigensicherheit automobiler Systemen.
Wofür eine eigene Automotive-ISO?
Aus der vorherrschenden Gesetzeslandschaft ergibt sich für den Hersteller von Verbraucherprodukten (hier Straßenfahrzeuge) eine Verkehrssicherungspflicht. Danach dürfen Produkte nur dann in Verkehr gebracht werden, wenn sie die Sicherheitserwartungen erfüllen, die der Verbraucher nach dem Stand von Wissenschaft und Technik zum Zeitpunkt des In-Verkehr-Bringens berechtigerweise erwarten darf.
Eine Norm trägt zu ihrem Veröffentlichungszeitpunkt zum Stand von Wissenschaft und Technik bei. Da dieser üblicherweise schneller voranschreitet als sich die entsprechende Norm weiterentwickelt, genügt es aber nicht, lediglich die Norm umzusetzen. Normerfüllung ist notwendig, aber nicht hinreichend um den Stand von Wissenschaft und Technik zu erfüllen. Erfüllt man Anforderungen einer Norm jedoch nicht und es kommt in einem Produkthaftungsfall zu dem Vorwurf, der Schaden sei entstanden, weil das Produkt nicht dem Stand von Wissenschaft und Technik entsprochen habe, so wird kann man gezwungen sein, das Gegenteil zu beweisen (Beweislastumkehr). Dies kann sich dann als beliebig schwierig bis unmöglich gestalten.
Um dieses unberechenbare Produkthaftungsrisiko zu reduzieren, ist die Umsetzung insbesondere von Sicherheitsnormen wie der ISO 26262 zwingend notwendig. Hierbei reicht es nicht aus, zum Zeitpunkt der Norm-Veröffentlichung mit ihrer Umsetzung zu beginnen, vielmehr müssen alle Produkte ab Veröffentlichungszeitpunkt der Norm bereits nach den darin geforderten Entwicklungsprozessen entwickelt worden sein und die geforderten Produkteigenschaften besitzen. In diesem Sinne kann die Phase zwischen Veröffentlichung des DIS und der endgültigen Norm als Einführungsphase gesehen werden, d.h. spätestens jetzt, mit Veröffentlichung des ISO/DIS 26262 sollten Unternehmen beginnen, die Norm flächendeckend einzuführen.
Für wen gilt die ISO 26262?
Der ISO/DIS 26262 adressiert momentan Personenkraftwagen bis 3,5 t zulässiges Gesamtgewicht. Durch den in der Automobilindustrie üblichen Plattformgedanken kommen Systeme nicht nur in diesen, sondern auch in anderen Fahrzeugklassen zum Einsatz – z.B. unterscheiden sich Fensterheber für Pkw nur unwesentlich bis gar nicht von Fensterhebern für Nutzfahrzeuge. Da die ISO 26262 Nutzfahrzeuge jedoch nicht explizit adressiert, ist hier zunächst die IEC 61508 die formaljuristisch gültige Norm – ebenso für Busse, Motorräder etc. Fahrzeugklassenübergreifende Systeme sind also potenziell nach mehreren Sicherheitsstandards zu entwickeln.
Die ISO 26262 verbietet jedoch an keiner Stelle, den Geltungsbereich auf weitere Fahrzeugklassen zu erweitern. Sie stellt als branchenspezifische Ableitung der IEC 61508 eine sehr gute Interpretation dieser Norm für alle Fahrzeugklassen dar. Somit ist eine grundsätzliche Anwendung der ISO 26262 auf alle Klassen von Straßenfahrzeugen möglich und sinnvoll, wobei durch geeignete begleitende Maßnahmen sichergestellt werden muss, dass der vorhandene Stand von Wissenschaft und Technik erreicht wird.
Welche Aspekte regelt die Norm?
Aufgrund des Umfanges des ISO/DIS 26262 kann hier nur ein kurzer Überblick über die 10 Bände der Norm (siehe Bild 1, Bildergalerie am Ende des Artikels) gegeben werden. Beispielhaft wird Band 6, der die Anforderungen an die Softwareentwicklung enthält, etwas detaillierter vorgestellt. Die Bände 2 bis 9 umfassen Anforderungen sowohl an den Entwicklungsprozess als auch an das Produkt. Die verwendeten Begriffe werden im Band 1 definiert, Band 10 stellt einen informativen Leitfaden dar. Band 2 beschreibt die Anforderungen an das Management der funktionalen Sicherheit. Dies umfasst neben Anforderungen an die Organisation das Projektmanagement über den gesamten Produktlebenszyklus hinweg sowie die Absicherungsmaßnahmen (Functional Safety Assessment) zum Nachweis der Normkonformität.
Die Bände 3 bis 7 beschreiben den eigentlichen Produktlebenszyklus. Die Produktentwicklung ist durch den Sicherheitslebenszyklus in Phasen strukturiert (siehe Bild 2, Bildergalerie am Ende des Artikels), beginnend mit der Konzeptphase über die Produktentwicklung auf System-, Hardware- und Softwareebene bis hin zu Produktion, Betrieb und Außerbetriebnahme. Die Entwicklungsphasen sind grundsätzlich in drei Abschnitte geteilt: Planung der Aktivitäten, deren Durchführung und abschließend die Verifikation bzw. Validation der dabei entstandenen Arbeitsprodukte.
Band 3 beschreibt die Konzeptphase, welche mit der Definition des so genannten Items (System bzw. Fahrzeugfunktion) beginnt. In der anschließenden Gefährdungs- und Risikoanalyse wird dem Item ein ASIL (Automotive Safety Integrity Level) zugeordnet. Abgeschlossen wird die Konzeptphase mit der Erstellung des Funktionalen Sicherheitskonzepts.
In der Systementwicklung (Band 4) wird dieses dann zum Technischen Sicherheitskonzept verfeinert. Aus dem Technischen Sicherheitskonzept leiten sich die Anforderungen an die Hard- bzw. Software ab. Deren Entwicklung wird in den Bänden 5 (Hardware) und 6 (Software) beschrieben. Die Phasen von der Systemintegration bis zur Produktfreigabe sind dann wieder in Band 4 beschrieben. Band 7 enthält Anforderungen an Produktion, Betrieb, Service und Außerbetriebnahme.
In Band 8 werden neben unterstützenden Prozessen wie Konfigurations- oder Anforderungsmanagement auch neue Methoden wie die Qualifizierung von Tools, von Software- oder Hardware-Komponenten sowie der Nachweis der Betriebsbewährtheit (Proven in use) beschrieben. In Band 9 finden sich spezielle sicherheitsorientierte Methoden wie die ASIL-Dekomposition (Automotive Safety Integrity Level), Kriterien zur Koexistenz von Elementen unterschiedlicher ASIL-Einstufung sowie Anforderungen an Sicherheitsanalysen.
Beispiel: Softwareentwickung nach ISO 26262
In Bild 3 (Bildergalerie am Ende des Artikels) ist die Softwareentwicklung nach ISO/DIS 26262 Band 6 „Product development: Software Level“ als V-Modell dargestellt. Eine wichtige Phase der Softwareentwicklung, nämlich die Applikation, ist in diesem Referenzphasenmodell nicht mit aufgeführt. Anforderungen an die Applikation finden sich im normativen Anhang zum Umgang mit konfigurierbarer Software. Dort sind die Möglichkeiten der Anwendung eines verkürzten Sicherheitslebenszyklus für verschiedene Softwarekonfigurationen aufgezeigt.
Zu den größten Herausforderungen einer effizienten Softwareentwicklung nach ISO/DIS 26262 gehört der im SW Architectural Design beschriebene Nachweis der Rückwirkungsfreiheit (Freedom of interference). Dieser Nachweis ist notwendig, wenn Softwarekomponenten mit unterschiedlich zugeordneten ASIL (inkl. QM für nicht sicherheitsrelevante SW-Komponenten) in einem Steuergerät umgesetzt werden sollen. Ohne diesen Nachweis muss die gesamte Software nach dem höchsten zugeordneten ASIL entwickelt werden. An den Softwaretest auf den verschiedenen Ebenen werden Anforderungen an die Testmethoden, Verfahren zur Ermittlung von Testfällen, zur Ermittlung der strukturellen Abdeckung dieser Testfälle sowie zur Testumgebung gestellt.
ASIL: Wie relevant ist eine Fehlfunktion für die Sicherheit?
Ziel einer Norm wie der ISO 26262 ist es, Anforderungen vorzugeben, ohne den Lösungsraum allzu sehr einzuschränken, da weder Innovation noch Wettbewerbsdifferenzierung behindert werden sollen. Durch die daraus resultierende Abstraktion der Anforderungen ergeben sich Interpretationsspielräume, die jedoch ungewollt zu Wettbewerbsverzerrungen führen können. Als Beispiel sei hier die Methodik der ASIL-Einstufung genannt:
Der „Automotive Safety Integrity Level (ASIL)“ ist ein Maß für die Sicherheitsrelevanz einer Fehlfunktion (z.B. ungewollte Momentenerhöhung bei der Motorsteuerung) und ergibt sich aus drei Parametern:
- Exposure (E): Wie häufig sind Situationen, in denen die Fehlfunktion relevant ist?
- Controllability (C): Wenn die Fehlfunktion in der angenommenen Situation auftritt, wie gut kann sie dann beherrscht werden?
- Severity (S): Wenn die Fehlfunktion in der angenommenen Situation auftritt und nicht beherrscht werden kann, wie groß ist dann die Schwere der Auswirkung?
Aus den drei Parametern E, C und S ergibt sich der ASIL auf einer Skala A bis D (bzw. QM für nicht sicherheitsrelevante Systeme), wobei A die niedrigste und D die höchste Einstufung darstellt. Die Anforderungen der ISO 26262 sind dann in Abhängigkeit des ermittelten ASIL umzusetzen.
Während in der IEC 61508 die Methodik zur Bestimmung des „Safety Integrity Levels“ (SIL) noch rein informativ beschrieben war, ist in der ISO 26262 die Methodik zur Bestimmung des ASIL nun normativ wie oben grob umrissen vorgegeben. Allerdings gibt die ISO/DIS 26262 nur wenig Hinweise, wie die drei Parameter E, C und S konkret festzulegen sind. Beispielsweise wird jemand aus Norddeutschland die Exposure E der Fahrsituation „Anfahren am Berg“ anders einstufen als jemand aus der Alpenregion.
Bei der Controllability C und der Severity S spielt zudem die konkrete Fahrzeugkonfiguration eine Rolle, was durch die Methodik der ISO 26262 nur implizit berücksichtigt wird. Herausforderung bei der ASIL-Einstufung ist also, eine Methodik zu finden, nach der sich ein in sich ein möglichst konsistentes „ASIL-Gefüge“ ergibt. Ansonsten besteht die Gefahr, dass sich zukünftige Fehlfunktionen neuer Systeme nur schwer vernünftig einstufen lassen.
Zusammenfassend lässt sich sagen, dass mit der ISO 26262 der Automobilindustrie erstmals eine anwendbare Norm zur funktionalen Sicherheit von Straßenfahrzeugen zur Verfügung steht. Sie trägt ab Veröffentlichungszeitpunkt zum Stand von Wissenschaft und Technik bezüglich der funktionalen Sicherheit von Straßenfahrzeugen bei, wobei eine Anwendung auf andere Fahrzeugklassen als PKW bis 3,5 t möglich und sinnvoll ist. In der Gefährdungsanalyse und Risikobewertung wird der Automotive Safety Integrity Level (ASIL) nach einer fest vorgegebenen Methodik bestimmt, wobei die Eingangsparameter Exposure E, Controllability C und Severity S einen zum Teil recht großen Interpretationsspielraum lassen.
Dies macht es zwar schwierig, zu einem konsistenten „ASIL-Gefüge“ der möglichen Fehlfunktionen zu kommen. Um Wettbewerbsverzerrungen zu vermeiden ist es jedoch notwendig ein branchenweites Verständnis dafür zu schaffen. Dieses ist letztendlich nur durch intensive weltweite Diskussionen unter Beteiligung aller OEM und Zulieferer erreichbar.
Jürgen Sauler ist International Expert ISO 26262 bei der Robert Bosch GmbH. Stefan Kriso arbeitet ebenfalls bei Bosch im Bereich Corporate Research.
(ID:329675)
:quality(80)/p7i.vogel.de/wcms/17/f2/17f22bfbbf53549315e3b7f440bd22b5/0123387761v2.jpeg "Die Embedded World öffnet vom 11. bis 13. März 2025 ihre Pforten. (Bild: NürnbergMesse / Thomas Geiger)")
:quality(80)/p7i.vogel.de/wcms/4c/24/4c2405135714d49ae956200dfe828d84/0111323802.jpeg "Softwarefunktionen werden auf den Displays sichtbar. Um aber alle Systeme miteinander zu koordinieren braucht es ein übergreifendes IT-System. Dafür gbit es verschiedene Betriebssysteme. (Bild: Volkswagen AG)")