Gute Vorlagen sind das A&O eines reibungslosen Prozesses zur Funktionalen Sicherheit. Dennoch macht die ISO 26262 ausgerechnet diesbezüglich keine konkreten Vorgaben, man steht also selbst in der Verantwortung. Und das aus gutem Grund! Sonst wären alle AnwenderInnen der ISO 26262 an gleiche Tools, identische Prozesse und dieselben Arbeitsweisen gebunden was nicht ferner der Praxis sein kann.
Was muss man also beachten, wenn man Vorlagen einführt, um wiederkehrende Arbeitsprodukte der Norm effektiv und effizient zu erstellen? Konformität zu den Anforderungen der ISO 26262 ist genauso wichtig wie offensichtlich. Wir möchten hier gerne unsere Best-Practice-Hinweise vorstellen, die man leicht übersieht.
Sechs Tipps aus der Praxis für das Erstellen von Vorlagen
1. Unabhängige Prüfung durchführen lassen
Je nach Arbeitsprodukt fordert die ISO 26262 mehr oder minder starke Unabhängigkeit bei der Prüfung der Arbeitsprodukte, definiert unter anderem über die Confirmation Measures. Mindestens das gleiche Maß sollte man bei der Prüfung und Freigabe der entsprechenden Vorlagen ansetzen. Einer der größten Nutzen von Vorlagen ist, dass man die ISO 26262 bei jedem Projekt nicht erneut interpretieren muss. Wie bereits einleitend erwähnt gibt die Norm keine konkreten Anweisungen, wie eine Vorlage zu erstellen ist. Sie trifft aber normative Anforderungen an die Inhalte eines Arbeitsprodukts und genau diese Inhalte muss die Vorlage entweder bereits vorgeben oder ermöglichen. Wenn eine Prüfung der Vorlage unabhängig aller Projekte durchgeführt wurde, ist man hier auf der sicheren Seite.
2. Konsistenz zum Prozess gewährleisten
Safety Culture lautet hier das Schlagwort. Eine Vorlage ist nur dann sinnvoll, wenn sie angewendet wird. Sollte sie nicht nahtlos in den zu befolgenden Prozess zur Funktionalen Sicherheit in ihrem Arbeitsumfeld integriert sein, führt dies entweder zum Umgehen der Vorlage oder zu einer umfangreichen Anpassung in jedem Projekt „damit man mit der Vorlage überhaupt arbeiten kann“. Eine klare Einordnung in den Prozess ist unumgänglich.
3. Traceability – Alle Vorlagen greifen ineinander
Genau wie die ISO 26262 klar definiert, welches die Ein- und Ausgangsgrößen von geforderten Arbeitsprodukten sind, sollte dies auch in der Vorlage klar ersichtlich sein. Der Prozess zur ISO 26262 ist an vielen Stellen seriell. Die sich aus der Gefährdungsanalyse und Risikobeurteilung ergebenden Sicherheitsziele sind die Eingangsgröße für das Funktionale Sicherheitskonzept. Die Anforderungen eines Funktionalen Sicherheitskonzepts wiederrum sind die Eingangsgröße für das Technische Sicherheitskonzept etc.. Sofern diese Ein- und Ausgangsgrößen nicht eindeutig (!) in einer Vorlage gepflegt werden, kommt es zu Unsicherheiten, Nachfragen und schlimmsten Falls Inkonsistenzen in der Nachweisführung.
4. Referenzen zur ISO 26262 helfen
„Warum das? Wir erstellen doch keine Prozessbeschreibung!“
Das mag einem als erstes einfallen und ist ein berechtigter Einwand. Schließlich sollte eine Vorlage keine Prozessbeschreibung, sondern ein pragmatisch anwendbares Dokument sein. Dennoch kennt vermutlich selbst die erfahrenste sicherheitsverantwortliche Fachperson nicht alle 816 Seiten der ISO 26262 auswendig.
Ein Verweis auf die ISO 26262, vielleicht auch nur in der Fußnote, welcher Inhalt an einer bestimmten Stelle zu erwarten ist beschleunig die Erstellung des entsprechenden Dokuments. Hier sollte man eine gute Balance aus Verweisen und dem Setzen auf die Kompetenz der anwendenden Person setzen. Zu viele Hinweise auf die ISO 26262 lassen das Dokument schnell schlecht lesbar werden und führen deshalb zum Überspringen von (Ab)Sätzen und damit zu Unvollständigkeiten.
5. Leitfaden zur Befüllung
Eine Vorlage muss verständlich und bestenfalls selbsterklärend sein. Aus der Komplexität der Funktionalen Sicherheit nach ISO 26262 ergeben sich zwangsweise auch gelegentlich komplexe Vorlagen. Damit das eigentliche Ziel der Vorlagen – die Arbeitserleichterung – nicht ab absurdum geführt wird und in erhöhtem Aufwand auf Grund der Vorlagenkomplexität endet, sollte eine komplexe Vorlage durch einen Leitfaden ergänzt werden. Bestenfalls gibt es eine Tool-gestützte Möglichkeit, diesen Leitfaden innerhalb der Vorlage ein- und ausblenden zu können. Wie diese Möglichkeit zu nutzen ist, sollte in der Vorlage erklärt sein und nicht im Leitfaden selber. Sollte dies nicht möglich sein und der Leitfaden als Kommentare in der Vorlage enthalten sein, empfehlen wir diesen Leitfaden im Anschluss der Lesbarkeit halber aus dem finalen Arbeitsprodukt zu entfernen.
Dieses Vorgehen hat aber auch eine Kehrseite. Der Leitfaden sollte nicht den Eindruck einer Schulungsunterlage erwecken. Dies führt sonst leider oft dazu, dass MitarbeiterInnen ohne ausreichendes Wissen zum Arbeitsprodukt den Leitfaden als alleinige Informationsquelle nutzen und somit nicht ausreichend qualifiziert die Erstellung des Arbeitsprodukts durchführen.
6. Flexibilität und Individualität beachten
Arbeitsergebnisse der Funktionalen Sicherheit sind oft sehr projektspezifisch und wenig generisch. Dem Autor des jeweiligen Arbeitsproduktes sollte die Vorlage somit ausreichend Flexibilität bieten. Eine mangels vorhandener Flexibilität abgeänderte Vorlage wird schnell im Rahmen von Reviews oder Audits bemängelt und als ungültig eingestuft. Der Vorteil der Vorlage wäre damit hinfällig.
Die Aufgabe der Vorlage ist deshalb mehr das klare Definieren des Spielraumes innerhalb der Anforderungen der ISO 26262 und nicht das Vorgeben von starren Lösungswegen. Die Expertise stellt die Person, die für das Arbeitsprodukt verantwortlich ist. Diese Aufgabe kann und soll eine Vorlage, auch in Teilen, nicht übernehmen. Die Vorlage unterstützt ausschließlich.
Fazit und Ausblick
Was sind ihre Meinungen zu unseren sechs Tipps zum Erstellen von Vorlagen? Stimmen sie zu, haben sie Ergänzungen oder halten sie bestimmte Aspekte für diskussionswürdig? Sprechen sie uns gerne direkt an oder kommentieren sie diesen Beitrag, damit alle an dem daraus resultierenden Wissensgewinn teilhaben können!
Haben sie Bedarf an Vorlagen, Leitfäden oder Prozessen für ihr Unternehmen? All dies durften wir im Rahmen der ISO 26262 bereits bei großen OEMs erfolgreich erstellen und einführen. Sicherlich finden wir für ihre Ansprüche ebenfalls gemeinsam pragmatische Lösungen. Sprechen sie uns gerne an!
Geschrieben von:
Zbigniew Bober