ISO 26262 (Funktionale Sicherheit Straßenfahrzeuge)

Detaillierte Erklärung

Die ISO 26262 "Road vehicles – Functional safety" ist die international maßgebliche Norm für die funktionale Sicherheit elektrischer und elektronischer Systeme in Straßenfahrzeugen. Sie wurde 2011 erstmals durch die International Organization for Standardization in Genf veröffentlicht und ist eine automotive-spezifische Ableitung der branchenübergreifenden Mutternorm IEC 61508. Die zweite Ausgabe ISO 26262:2018 erschien im Dezember 2018 und erweiterte den Geltungsbereich von Personenkraftwagen auf alle Straßenfahrzeuge mit Ausnahme von Mopeds, also auch auf Lkw, Busse, Anhänger und über den neu geschaffenen Teil 12 ausdrücklich auch auf Motorräder. Die Norm umfasst insgesamt 12 Teile, darunter Teil 1 Vocabulary, Teil 2 Management of functional safety, Teil 3 Concept phase, Teile 4 bis 6 Entwicklung auf System-, Hardware- und Software-Ebene, Teil 8 Supporting processes, Teil 11 Halbleiter (neu 2018) sowie Teil 12 Motorräder.

Kernkonzept der Norm ist die Klassifikation jedes sicherheitsrelevanten Steuergeräts und jeder Sicherheitsfunktion in einen von vier Automotive Safety Integrity Levels (ASIL A, B, C oder D), wobei ASIL D die strengsten Anforderungen stellt und etwa für elektronisches Bremsen, elektronische Servolenkung oder Airbag-Steuerungen typisch ist, während ASIL A beispielsweise für Rückfahrlicht-Steuerungen ausreicht. Die ASIL-Einstufung erfolgt in der Konzeptphase über eine Hazard Analysis and Risk Assessment (HARA) entlang der drei Faktoren Severity (S0 bis S3), Exposure (E0 bis E4) und Controllability (C0 bis C3) und steuert anschließend die geforderte Tiefe von Architektur, Verifikation, Test und Dokumentation über den gesamten 4- bis 7-jährigen Entwicklungszyklus eines Steuergeräts. Eine zertifizierende Stelle ist nicht zwingend vorgeschrieben, in der Praxis bestätigen jedoch akkreditierte Prüfdienstleister wie TÜV SÜD, Dekra oder SGS-TÜV Saar die Konformität durch ein Functional Safety Assessment.

Praxisbeispiel (konkretes Einkaufsszenario)

Ein nordrhein-westfälischer Lkw-Hersteller mit jährlich 78.000 produzierten Fahrzeugen schreibt 2026 die Entwicklung und Serienlieferung eines elektronischen Lenkungssteuergeräts für die Modellgeneration mit Marktstart 2028 aus. Das Lastenheft vom 12. Januar 2026 stuft die Sicherheitsfunktion "elektrische Lenkunterstützung" auf Basis der HARA mit Severity 3, Exposure 4 und Controllability 3 als ASIL D ein und schreibt die vollständige Konformität mit ISO 26262:2018 Teile 1 bis 9 sowie Teil 11 Halbleiter vor. Der nominierte Tier-1-Lieferant aus Baden-Württemberg, ein Spezialist mit 920 Beschäftigten, kalkuliert für die Sicherheitsentwicklung 14 zusätzliche Engineer-Vollzeitäquivalente über 26 Monate sowie ein externes Functional Safety Assessment durch TÜV SÜD mit einem Aufwand von 38 Personentagen. Insgesamt fügen die ISO-26262-Anforderungen rund 2,4 Millionen Euro Engineering-Kosten zum Stückpreis hinzu, verteilt über die geplante Auftragsmenge von 412.000 Fahrzeugen über 7 Jahre. Im November 2026 identifiziert ein internes Audit, dass der Lieferant für die Halbleiter-Komponenten den neuen Teil 11 nicht vollständig adressiert hat; die Nachbesserung über einen Safety Element out of Context (SEooC) des Mikrocontroller-Herstellers verzögert den Software-Freeze um 11 Wochen und löst eine Vertragsstrafe von 4 Prozent des Auftragswerts aus.

Typische Fehler & Verhandlungskontext

Der häufigste Fehler in der Lieferantenauswahl ist die pauschale Forderung "ISO 26262 ASIL D" für ein gesamtes Steuergerät, ohne die ASIL-Dekomposition entlang der Sicherheitsfunktionen zu nutzen. Tatsächlich erlaubt die Norm in Teil 9, eine ASIL-D-Funktion in zwei unabhängige ASIL-B(D)-Pfade aufzuteilen, was Architektur und Hardware-Kosten oft um 18 bis 25 Prozent reduziert. Ebenfalls oft unterschätzt: Die Anforderungen an die Tool-Qualifikation nach Teil 8 Klausel 11 (TCL 1 bis TCL 3) treffen bei sicherheitskritischer Software jeden eingesetzten Compiler, Debugger und Test-Tool, was bei Nicht-Berücksichtigung im Lastenheft regelmäßig zu Nachforderungen von 80.000 bis 250.000 Euro je Tool-Kette führt. Verhandlungsleverage hat der OEM-Einkauf in der Frage, ob das Functional Safety Assessment durch eine externe Prüfstelle (höhere Kosten, aber gerichtsfeste Dokumentation) oder ein internes Confirmation Measure nach Teil 2 Klausel 6 (kostengünstiger, aber bei Produkthaftung schwächere Position) erfolgt. Bei Bestandslieferanten mit Erstmuster-Reports nach altem Stand 2011 ist die Migration auf die 2018-Fassung kein Selbstläufer: Insbesondere die neuen Anforderungen an dependent failure analyses (Teil 9), an semiconductors (Teil 11) und an cybersecurity-Schnittstellen zur ISO/SAE 21434 müssen sauber abgegrenzt sein, sonst entstehen Doppel-Engineering und Konflikte mit den Audit-Plänen der OEMs. Ein häufiger Stolperstein ist auch die unscharfe Definition des Safety Element out of Context: Wenn der OEM-Einkauf nicht klar regelt, welche Annahmen über das umgebende System der Lieferant treffen darf, eröffnet jede spätere Anpassung der Fahrzeugarchitektur eine Nachtragsdiskussion.

Verwandte Begriffe

Funktionale Sicherheit ist der übergreifende methodische Rahmen, in dem ISO 26262 die automobile Spezialisierung der Mutternorm IEC 61508 darstellt, und liefert das gemeinsame Vokabular von SIL und ASIL über Branchengrenzen hinweg. Automotive SPICE liefert die Prozessreife-Bewertung für Software- und Systementwicklung, die in ISO-26262-Projekten ab ASIL B faktisch unverzichtbar ist, weil ohne nachweisbare CL2- oder CL3-Prozesse die Sicherheitsdokumentation lückenhaft bleibt. IATF 16949 bildet das Qualitätsmanagement-Fundament jedes Tier-1-Lieferanten und verlangt in Klausel 8.3 ausdrücklich die Berücksichtigung produktsicherheitsrelevanter Anforderungen, wozu ISO 26262 in elektronischen Komponenten zählt. Q-Vertrag Automotive verankert die ASIL-Anforderungen sowie die Pflicht zum Functional Safety Assessment vertraglich zwischen OEM und Tier-1 und macht Verstöße zur Grundlage für Schadensersatz und Pönalen. Automotive verbindlicher Liefervertrag verknüpft die ISO-26262-Konformität mit der Serienfreigabe und macht die Erfüllung zur aufschiebenden Bedingung des Volumenkommitments über die gesamte 7- bis 10-jährige Modelllaufzeit.