Sie sind auf Seite 1von 4
Zwischenbericht und Beteiligungsaufruf zur Studie über die Wertschöpfungskette und QA sicherheitskritischer Software in

Zwischenbericht und Beteiligungsaufruf zur Studie über die Wertschöpfungskette und QA sicherheitskritischer Software in der Automobil-Branche

David Faragó, QPR-Technologies, farago@kit.edu

Software in der Automobilbranche ist heute treibender Innovationsfaktor, wird aber immer sicherheits- kritischer und komplexer. Heute ist jeder 2. Rückruf softwarebedingt, die Anzahl der Rückrufe steigt enorm. Zur Analyse der Wertschöpfungskette und QA sicherheitskritischer Software im Automobilmarkt wurden 36 Unternehmen interviewt über deren QA-Werkzeuge und -Prozesse, Probleme, Zulieferung und Trends. Dieser Artikel fasst den aktuellen Stand der Studie und der Antworten zusammen und ruft zur Beteiligung auf. Da Automobilmarkt und Rückrufproblematik groß sind, soll eine statistisch solide Studie durchgeführt werden, von QPR-Technologies, KIT-EnTechnon und AXA MATRIX. [Schlüsselwörter: Automotive, sicherheitskritische Software, QA, Umfrage, Wertschöpfungskette, Rückrufe, Zulieferer, Wirtschaftlichkeit]

1

Einleitung

1.1 Umfeld

Software in der Automobilbranche ist heute treibender Innovationsfaktor: Beim Kauf eines neuen Autos zahlt man momentan 30% für die Elektronik, davon sind 70% für Software Tendenz steigend [1]. Die eingesetzte Software hat die Größe 50 Mio SLOC. Erschwerend kommt hinzu, dass die geforderte Time-To-Market sinkt, bei vielen Komponenten auf unter 2 Jahre. Zusätzlich übernimmt die Software immer kritischere Funktionen, bis hin zu selbständigem Beschleunigen, Abbremsen und Lenken [2]. Dies sind Gründe, weswegen die Norm ISO 26262 entwickelt wurde: Die Software wird in ein Sicherheitslevel eingestuft und muss entsprechend zertifiziert werden, d.h. der Entwicklungsprozess, aber auch der Quelltext und die eingesetzten Werkzeuge müssen zur Abnahme bestimmten Kriterien genügen. Dies fördert die Qualität, macht aber die Qualitätssicherung (kurz QA für Quality- Assurance) in der Wertschöpfungskette komplexer. Eine weitere Dimension ist die Modularisierung der Wertschöpfung und zum Teil auch der QA über viele Zulieferer hinweg, besonders seit dem Softwarearchitekturstandard AUTOSAR. Eine dritte Dimension ergibt sich aus der Vielzahl an Prüfverfahren in den unterschiedlichen Phasen des V-Modells, mit unterschiedlichen Mechanismen und Prozessen.

1.2 Interviews

2014 hat das Startup QPR-Technologies [3,12] begonnen, das erste Werkzeug zur exakten statischen Code-Analyse auf den deutschen Automobil-Markt zu bringen. Es hat zur

Validierung ihres Geschäftskonzeptes 36 in Deutschland ansässige Unternehmen und Organisationen zur QA sicherheitskritisscher Software in der Automobilbranche befragt:

Welche Werkzeuge und Prozesse werden heute eingesetzt, welche Probleme gibt es, wie sieht die Wertschöpfungskette aus, wie die Zusammenarbeit der Unternehmen? Welche Trends gibt es, d.h. wie werden sich die Antworten auf diese Fragen in der Zukunft ändern? Unter den Befragten waren 4 OEMs wie Audi und Daimler, 5 große Tier-1 (d.h. direkte Zulieferer der OEMs) wie Bosch und Schaeffler, 11 kleinere Zulieferer wie Berner & Mattner und Intel Automotive, 10 Werkzeug-Hersteller und Werkzeug-Vertreiber wie ETAS und SQ-Software, und 6 sonstige Organisationen wie Bitkom und AXA. Die Gespräche dauerten zwischen 0.5h und 8h, meist ca. 3h. In den Gesprächen haben sich einige wiederkehrende, relevante Fragen und Antwortmuster herauskristallisiert, die in Kapitel 2 zusammengefasst sind. Für solide Aussagen waren die Gespräche jedoch nicht genügend strukturiert und der Stichprobenumfang nicht ausreichend, da nur 15 der Unternehmen sicherheitskritische Software selbst entwickeln, die im Auto zum Einsatz kommt.

1.3

Relevanz

Die Fragen und Antwortmuster sind jedoch sehr relevant, denn der Markt und dessen Probleme sind groß: Weltweit werden jährlich 80 Mio Autos verkauft; der Jahresumsatz für Software im deutschen Automobil-Markt beträgt beträgt mehr als 5 Mrd € für elektr. Ausrüstung, und ein stark steigender Anteil bei den Motoren, Karosserien und dem Wagen selbst, siehe

100

Unternehmen, die ausschließlich Elektr. entwickeln, und bis zu ca. 1000 Unternehmen, die

Tabelle

1.

Er

verteilt

sich

auf

ca.

nicht nur aber immer mehr Software entwickeln. Hinzu kommen noch weitere Unternehmen, z.B. Software-Werkzeughersteller, Berater und Rückruf-Versicherungen. Die Anzahl der Rückrufe steigt stark, wie eine Studie [4] des Center of Automotive Managements im USA-Markt zeigt, siehe Abbildung 1: im 1. Halbjahr 2014 wurden 4.5 mal so viele Fahrzeuge zurückgerufen wie verkauft wurden mehr als 3 mal so viel wie im 1. Halbjahr 2013; dies erzeugt einen hohen Leidensdruck. Dabei sind ca. 50% der Rückrufe softwarebedingt [5], tendenz steigend.

1.4

Marktstudie

Wegen der in Abschnitt 0 geschilderten Relevanz wird QPR-Technologies zusammen mit KIT-EnTechnon und AXA MATRIX eine Marktstudie durchführen. Das Ergebnis soll bei Bitkom veröffentlicht werden, Automobil- und Embedded-Software-Zeitschriften sind auch an Meldungen interessiert. Sie sind in der Automobilbranche tätig? Bitte beteiligen Sie sich im Frühjahr an der Umfrage, unter http://www.qpr- technologies/studie. Damit helfen Sie uns und der Studie zu aussagekräftigen Ergebnissen. Gerne nennen wir Sie/Ihre Firma beim Namen.

Tabelle 1: Der deutsche Automobilmarkt ist groß (2013)

KFZ-Markt Deutschland, 2013

Betriebe

Beschäftigte

Bruttolohn-

Umsatz (€)

(C)opyright Statistisches Bundesamt, Stand: 02.01.2015

(Anzahl)

(Anzahl)

summe (€)

Herstellung von: Kraftwagen und Kraftwagenteilen

1 319

772

737

44

947 Mio

364

439 Mio

* Kraftwagen und Kraftwagenmotoren

106

437

223

28

939 Mio

283

153 Mio

* Karosserien, Aufbauten u.Anhängern

339

36

959

1

348 Mio

9

272 Mio

* Teilen und Zubehör für Kraftwagen

874

298

555

14

659 Mio

72

014 Mio

- elektr.u.elektron. Ausrüstg. für Kraftwagen

99

26

930

1

265 Mio

7

609 Mio

- sonstigen Teilen & Zubehör für Kraftwagen

775

271

625

13

394 Mio

64

406 Mio

775 271 625 13 394 Mio 64 406 Mio Abbildung 1: Die Rückrufquoten steigen (Zahlen des

Abbildung 1: Die Rückrufquoten steigen (Zahlen des USA-Marktes)

2 Fragen und Hypothesen

Dieses Kapitel fasst die wichtigsten Fragen aus den Firmeninterviews zusammen. Die Antworten sind als Hypothesen zu betrachten: Es

haben sich zwar Antwortmuster herauskristalisiert, jedoch sind die Interviews nicht empirisch rigoros durchgeführt worden. Sie können uns also gerne widersprechen, unter http://www.qpr-

die

Marktstudie durchgeführt, welche evtl. Hypothesen falsifizieren wird.

Deswegen

wird

Wer entwickelt die sicherheitskritische Automobil-

Software

entwickelt die sicherheitskritische Automobil- Software Momentan wird die meiste sicherheitskritische

Momentan wird die meiste sicherheitskritische Automobil-Software von den großen Tier-1 entwickelt. Ein kleinerer Anteil wird von den OEMs entwickelt, sowie Tier-2 und höher (d.h. Zuliefer von Zulieferern). Trend: Manche OEMs haben erkannt, dass die Software in Kraftfahrzeugen mittlerweile der treibende Innovationsfaktor ist und versuchen, sich die IP zurückzuholen, indem sie wieder mehr vom Software-Kern selbst entwickeln. Eine geringe aber steigende Anzahl an Tier-2 und höher spezialisieren sich auf die Entwicklung sicherheitskritischer Software.

Wer integriert sie

sicherheitskritischer Software. Wer integriert sie Die finale Integration findet beim OEM statt. Manchmal

Die finale Integration findet beim OEM statt. Manchmal stellen Teilkomponenten ein in sich abgeschlossenes Produkt da, z.B. Airbags oder AUTOSAR-Betriebsysteme; diese können schon isoliert beim entsprechenden Zulieferer zu einem hohen Grad integriert werden. Trend: Da die Modularisierung und der Variantenreichtum (3000 Compilezeit-Optionen, 35000 Kalibrierungs-parameter [1]) steigen, wird die Integration schwieriger. Standards sollen dem entgegen wirken [2].

Wer prüft sie, mit welchen Prozessen und mit

welchen Werkzeugen

sie, mit welchen Prozessen und mit welchen Werkzeugen Die Prozesse orientieren sich meist am V- Modell,

Die Prozesse orientieren sich meist am V- Modell, unterscheiden sich aber häufig im Detail. Die Prüfung enthält immer dynamische Tests. Je sicherheitskritischer die Software, desto formalere Methoden werden zusätzlich eingesetzt (für ASIL- C und -D: (highly) recommended), insbesondere modellbasiertes Testen und statische Analyse. OEMs und große Tier-1 haben große Werkzeugportfolios, da die meisten Werkzeuge Stärken als auch Schwächen haben und der redundante Einsatz durch mehrere Werkzeuge die Konfidenz in die Werkzeuge und damit auch in die Softwarequalität erhöht. Eine detaillierte

Umfrage zu den Qualitätssicherungswerkzeugen wurde in [5] zusammengefasst. Die QA muss über die komplette Wertschöpfungskette betrachtet werden, da diese sehr komplex ist: Da die finale Integration beim OEM stattfindet, wird auch die finale Prüfung beim OEM durchgeführt. Für zugelieferte Software gibt es unterschiedliche Vorgehensweisen:

1. Der Zugelieferte lässt sich auch den Quelltext liefern und bindet diesen in die eigens entwickelte Software und deren Überprüfung ein;

2. Der OEM prüft mittels dynamischer und statischer Tests die Software im Hause des Zulieferers (in einer Art Audit);

3. Der Zulieferer prüft selbst und belegt dies mittels eigener Dokumente, die in Audits vom Zugelieferten überprüft werden. Immer häufiger wird die Konfidenz zusätzlich erhöht, indem das zugelieferte Teilprodukt vom Zulieferer zertifiziert wird.

Finden diese Lösungen auch früher in der Wertschöpfungskette statt? QPR-Technologies hat Beispiele für 1. und 3. bei Tier-1 gefunden, jedoch keine bei Tier-2 und höher. Trend: Mittels 2. wollen OEMs die solide Prüfung von zugelieferter Software früher in der Wertschöpfungskette stattfinden lassen. Die OEMs und großen Tier-1 sind interessiert, ihre Werkzeugportfolios zu erweitern und zu modernisieren. Der Standard ISO 26262 fördert stark den Einsatz formaler Methoden. Moderne Prozesse werden nun auch in der Entwicklung von Embedded-Software übernommen, z.B. agile Softwareentwicklung, Test-Driven-Development, Prinzipien und Guidelines der Clean-Code- Development [6].

Wer zertifiziert sie

der Clean-Code- Development [6]. Wer zertifiziert sie Meist wird beim OEM zertifiziert, nach den Standards ISO

Meist wird beim OEM zertifiziert, nach den Standards ISO 26262 und MISRA. Falls Teilkomponenten in sich abgeschlossene Produkte dastellen, werden diese auch schon früher integriert, geprüft und zertifiziert primär von großen Tier-1. Trend: Der junge Standard ISO 26262 wird vom Automobilmarkt schon als unerlässlich betrachtet [7]. Die Coding-Guideline MISRA wird mit MISRA-2012 semantischer, d.h. es werden mehr die konkreten Ausführungspfade betrachtet, nicht nur syntaktische Muster. Es wird mehr bei Zulieferern zertifiziert, auch bei kleineren sind Zertifizierungen sicherheitskritischer Software geplant. Qualifizierungs-Kits von Werkzeugen, welche die Zertifizierung unterstützen, sowie die Trends aus obigen Fragen verstärken diesen Trend.

Was geschieht bei Rückrufen

Was geschieht bei Rückrufen Im 1. Halbjahr 2014 hat sich die Rückrufquote mehr als verdreifacht. Automobil-Rückrufe

Im 1. Halbjahr 2014 hat sich die Rückrufquote mehr als verdreifacht. Automobil-Rückrufe sind mittlerweile zu 50% software-bedingt [5]. Durch den starken Anstieg an intelligenten Fahrerassistenzsystemen wird sich das Verhältnis noch verschärfen [2]. Die häufigsten Ursachen sind: Fehlerhafte Zustandsübergänge, Race- Conditions, Design-Fehler und Laufzeit-Fehler [8]. Die Fehlerursache und damit die Haftungsfrage ist schwer lokalisierbar, da ein Auto ein sehr komplexes System ist; z.B. ist bei Toyotas „Gaspedal-Panne“ [9] die Fehlerursache erst nach vielen Jahren gefunden wurde, durch die Fehlerfolgekosten sind die Total-Cost-of- Ownership der Software bei Toyota 1200 $ / SLOC [10]. Meist tragen die OEMs den Imageschaden. Die direkten Folgekosten übernimmt der OEM zuerst selbst, reicht dann aber einen vertrags- und situations-abhängigen Prozentsatz an den entsprechenden Zulieferer weiter. Ein junges Gegenbeispiel ist ein Airbag- Rückruf von Audi, für den Continental den Fehler zugab und die Kosten direkt übernahm [11]. Trend: Da die Software sicherheitskritischer und häufiger zurückgerufen wird, werden Zertifikate, Haftungsfragen und Versicherungen

immer relevanter [2]. Zu der Komplexität der Systeme und Wertschöpfungskette kommt bei Rückrufen erschwerend hinzu, dass Expertise zu Finanzen, Recht und dem jungen ISO 26262- Zertifikat benötigt wird; es gibt kaum jemanden, der die Gesamtsituation überschaut. Dies ist ein Grund weswegen QPR-Technologies zusammen mit KIT-EnTechnon und AXA MATRIX diese Marktstudie durchführen.

3

Abschluss

Die Fragen aus Kapitel 2 bewegen die Automobilindustrie sie haben sich aus 36 Firmengesprächen (siehe Tabelle 2) im 2. Halbjahr 2014 ergeben. Aus den Gesprächen zeichnen sich die in Kapitel 2 gegebenen Antworten ab, allerdings noch nicht statistisch zuverlässig. Da die Branche und die Fragen eine große Relevanz haben, wird gerade diese Studie durchgeführt, mit den folgenden Partnern: AXA MATRIX, Bitkom, KIT EnTechnon, QPR- Technologies. Bitte beteiligen Sie sich an der Studie, siehe http://www.qpr-technologies.com/studie.

Tabelle 2: Befragte Unternehmen und sonstige Organisationen

AbsInt

Andrena Objects

ArcCore

Audi

AXA MATRIX

Axivion

BAIKA

Bitkom

Berner& Mattner

Bosch

BMW

Carneios

Daimler

Dspace

ETAS

FZI

GE

Gentele-Kollegen

Green Hills

Harman/Becker

Hitex

Implisense

Intel Automotive

Invenio

ITK Engineering

KTC

Porsche

Red Lizard

Schaeffler

Schaeffler-LUK

Siemens

SoftwareInMotion

SQ-Software

QNX

Vector Informatik

Verified Systems

4

Referenzen

[1] Darren Buttle. Under the Hood: Model-Based Development in the Automotive Industry. ECMFA

2014 Keynote.

[2] Josh Becker, Byron Holz. Smart Cars: On the Road to IP

and Product Liability Issues. http://goo.gl/FmSHqv [3] QPR-Technologies: ein Spin-off des Karlsruher Institut für Technologie. http://www.qpr-technologies.com [4] Center of Automotive Managements: Automotive PERFORMANCE 2014. http://goo.gl/5ktPXt [5] Harald Altinger et al: Testing Methods Used in the Automotive Industry: Results from a Survey. JAMAICA

2014 Workshop

[6] Embedded Clean code: http://www.embedded-clean- code.de [7] Qi Hommes,. Assessment of the ISO 26262 Standard. SAE 2012 Government/Industry Meeting

[8] Udo Gleich. Static Analysis At Daimler. Dagstuhl- Seminar Next Generation Static Analysis Tools”, 2014 [9] Spiegel. Gaspedal-Panne: Toyota muss in den USA Milliardenstrafe zahlen. 19. März 2014.

[10] Jack Ganssle. The Way Ahead in Embedded Software Engineering. ESE 2014 Keynote [11] Reuters. Continental für Audi-Rückruf wegen Airbag- Fehler verantwortlich. 31. Oktober 2014 [12] David Farago et al: Automatic Heavy-weight Static Analysis Tools for Finding Bugs in Safety-critical Embedded C/C++ Code. GI TAV 36 Workshop