Zwischenbericht und Beteiligungsaufruf zur Studie ber die

Wertschpfungskette und QA sicherheitskritischer Software in

der Automobil-Branche
David Farag, QPR-Technologies, farago@kit.edu
Software in der Automobilbranche ist heute treibender Innovationsfaktor, wird aber immer sicherheitskritischer und komplexer. Heute ist jeder 2. Rckruf softwarebedingt, die Anzahl der Rckrufe steigt enorm.
Zur Analyse der Wertschpfungskette und QA sicherheitskritischer Software im Automobilmarkt wurden
36 Unternehmen interviewt ber deren QA-Werkzeuge und -Prozesse, Probleme, Zulieferung und Trends.
Dieser Artikel fasst den aktuellen Stand der Studie und der Antworten zusammen und ruft zur Beteiligung
auf. Da Automobilmarkt und Rckrufproblematik gro sind, soll eine statistisch solide Studie durchgefhrt
werden, von QPR-Technologies, KIT-EnTechnon und AXA MATRIX. [Schlsselwrter: Automotive,
sicherheitskritische Software, QA, Umfrage, Wertschpfungskette, Rckrufe, Zulieferer, Wirtschaftlichkeit]

1 Einleitung
1.1 Umfeld
Software in der Automobilbranche ist heute
treibender Innovationsfaktor: Beim Kauf eines
neuen Autos zahlt man momentan 30% fr die
Elektronik, davon sind 70% fr Software
Tendenz steigend [1]. Die eingesetzte Software
hat die Gre 50 Mio SLOC. Erschwerend kommt
hinzu, dass die geforderte Time-To-Market sinkt,
bei vielen Komponenten auf unter 2 Jahre.
Zustzlich bernimmt die Software immer
kritischere Funktionen, bis hin zu selbstndigem
Beschleunigen, Abbremsen und Lenken [2].
Dies sind Grnde, weswegen die Norm ISO
26262 entwickelt wurde: Die Software wird in ein
Sicherheitslevel
eingestuft
und
muss
entsprechend zertifiziert werden, d.h. der
Entwicklungsprozess, aber auch der Quelltext und
die eingesetzten Werkzeuge mssen zur
Abnahme bestimmten Kriterien gengen. Dies
frdert
die
Qualitt,
macht
aber
die
Qualittssicherung (kurz QA fr QualityAssurance)
in
der
Wertschpfungskette
komplexer. Eine weitere Dimension ist die
Modularisierung der Wertschpfung und zum Teil
auch der QA ber viele Zulieferer hinweg,
besonders seit dem Softwarearchitekturstandard
AUTOSAR. Eine dritte Dimension ergibt sich aus
der
Vielzahl
an
Prfverfahren
in
den
unterschiedlichen Phasen des V-Modells, mit
unterschiedlichen Mechanismen und Prozessen.

1.2 Interviews
2014 hat das Startup QPR-Technologies [3,12]
begonnen, das erste Werkzeug zur exakten
statischen Code-Analyse auf den deutschen
Automobil-Markt zu bringen. Es hat zur

Validierung ihres Geschftskonzeptes 36 in

Deutschland
ansssige
Unternehmen
und
Organisationen zur QA sicherheitskritisscher
Software in der Automobilbranche befragt:
Welche Werkzeuge und Prozesse werden heute
eingesetzt, welche Probleme gibt es, wie sieht die
Wertschpfungskette
aus,
wie
die
Zusammenarbeit der Unternehmen? Welche
Trends gibt es, d.h. wie werden sich die
Antworten auf diese Fragen in der Zukunft
ndern? Unter den Befragten waren 4 OEMs wie
Audi und Daimler, 5 groe Tier-1 (d.h. direkte
Zulieferer der OEMs) wie Bosch und Schaeffler,
11 kleinere Zulieferer wie Berner & Mattner und
Intel Automotive, 10 Werkzeug-Hersteller und
Werkzeug-Vertreiber wie ETAS und SQ-Software,
und 6 sonstige Organisationen wie Bitkom und
AXA. Die Gesprche dauerten zwischen 0.5h und
8h, meist ca. 3h.
In den Gesprchen haben sich einige
wiederkehrende,
relevante
Fragen
und
Antwortmuster herauskristallisiert, die in Kapitel 2
zusammengefasst sind. Fr solide Aussagen
waren die Gesprche jedoch nicht gengend
strukturiert und der Stichprobenumfang nicht
ausreichend, da nur 15 der Unternehmen
sicherheitskritische Software selbst entwickeln,
die im Auto zum Einsatz kommt.

1.3 Relevanz
Die Fragen und Antwortmuster sind jedoch
sehr relevant, denn der Markt und dessen
Probleme sind gro: Weltweit werden jhrlich 80
Mio Autos verkauft; der Jahresumsatz fr
Software im deutschen Automobil-Markt betrgt
betrgt mehr als 5 Mrd fr elektr. Ausrstung,
und ein stark steigender Anteil bei den Motoren,
Karosserien und dem Wagen selbst, siehe
Tabelle 1. Er verteilt sich auf ca. 100
Unternehmen,
die
ausschlielich
Elektr.
entwickeln, und bis zu ca. 1000 Unternehmen, die

nicht nur aber immer mehr Software entwickeln.

Hinzu kommen noch weitere Unternehmen, z.B.
Software-Werkzeughersteller,
Berater
und
Rckruf-Versicherungen.
Die Anzahl der Rckrufe steigt stark, wie eine
Studie
[4]
des
Center
of
Automotive
Managements im USA-Markt zeigt, siehe
Abbildung 1: im 1. Halbjahr 2014 wurden 4.5 mal
so viele Fahrzeuge zurckgerufen wie verkauft
wurden mehr als 3 mal so viel wie im 1. Halbjahr
2013; dies erzeugt einen hohen Leidensdruck.
Dabei sind ca. 50% der Rckrufe softwarebedingt
[5], tendenz steigend.

Wegen der in Abschnitt 0 geschilderten

Relevanz wird QPR-Technologies zusammen mit
KIT-EnTechnon und
AXA MATRIX eine
Marktstudie durchfhren. Das Ergebnis soll bei
Bitkom verffentlicht werden, Automobil- und
Embedded-Software-Zeitschriften sind auch an
Meldungen interessiert.
Sie sind in der Automobilbranche ttig? Bitte
beteiligen Sie sich im Frhjahr an der
Umfrage,
unter
http://www.qprtechnologies/studie. Damit helfen Sie uns und
der Studie zu aussagekrftigen Ergebnissen.
Gerne nennen wir Sie/Ihre Firma beim Namen.

1.4 Marktstudie
Tabelle 1: Der deutsche Automobilmarkt ist gro (2013)
KFZ-Markt Deutschland, 2013
(C)opyright Statistisches Bundesamt, Stand: 02.01.2015

Herstellung von: Kraftwagen und Kraftwagenteilen

* Kraftwagen und Kraftwagenmotoren
* Karosserien, Aufbauten u.Anhngern
* Teilen und Zubehr fr Kraftwagen
- elektr.u.elektron. Ausrstg. fr Kraftwagen
- sonstigen Teilen & Zubehr fr Kraftwagen

Betriebe Beschftigte Bruttolohn(Anzahl)

(Anzahl)
summe ()
1 319
106
339
874
99
775

772 737
437 223
36 959
298 555
26 930
271 625

Abbildung 1: Die Rckrufquoten steigen (Zahlen des USA-Marktes)

44 947 Mio
28 939 Mio
1 348 Mio
14 659 Mio
1 265 Mio
13 394 Mio

Umsatz ()
364 439 Mio
283 153 Mio
9 272 Mio
72 014 Mio
7 609 Mio
64 406 Mio

2 Fragen und Hypothesen

Dieses Kapitel fasst die wichtigsten Fragen
aus den Firmeninterviews zusammen. Die
Antworten sind als Hypothesen zu betrachten: Es
haben sich zwar Antwortmuster herauskristalisiert,
jedoch sind die Interviews nicht empirisch rigoros
durchgefhrt worden. Sie knnen uns also gerne
widersprechen,
unter
http://www.qprtechnologies/studie/. Deswegen
wird die
Marktstudie
durchgefhrt,
welche
evtl.
Hypothesen falsifizieren wird.
Wer entwickelt die sicherheitskritische AutomobilSoftware
Momentan wird die meiste sicherheitskritische
Automobil-Software von den groen Tier-1
entwickelt. Ein kleinerer Anteil wird von den OEMs
entwickelt, sowie Tier-2 und hher (d.h. Zuliefer
von Zulieferern).
Trend: Manche OEMs haben erkannt, dass die
Software in Kraftfahrzeugen mittlerweile der
treibende Innovationsfaktor ist und versuchen,
sich die IP zurckzuholen, indem sie wieder mehr
vom Software-Kern selbst entwickeln. Eine
geringe aber steigende Anzahl an Tier-2 und
hher spezialisieren sich auf die Entwicklung
sicherheitskritischer Software.
Wer integriert sie
Die finale Integration findet beim OEM statt.
Manchmal stellen Teilkomponenten ein in sich
abgeschlossenes Produkt da, z.B. Airbags oder
AUTOSAR-Betriebsysteme; diese knnen schon
isoliert beim entsprechenden Zulieferer zu einem
hohen Grad integriert werden.
Trend: Da die Modularisierung und der
Variantenreichtum (3000 Compilezeit-Optionen,
35000 Kalibrierungs-parameter [1]) steigen, wird
die Integration schwieriger. Standards sollen dem
entgegen wirken [2].
Wer prft sie, mit welchen Prozessen und mit
welchen Werkzeugen
Die Prozesse orientieren sich meist am VModell, unterscheiden sich aber hufig im Detail.
Die Prfung enthlt immer dynamische Tests. Je
sicherheitskritischer die Software, desto formalere
Methoden werden zustzlich eingesetzt (fr ASILC und -D: (highly) recommended), insbesondere
modellbasiertes Testen und statische Analyse.
OEMs und groe Tier-1 haben groe
Werkzeugportfolios, da die meisten Werkzeuge
Strken als auch Schwchen haben und der
redundante Einsatz durch mehrere Werkzeuge
die Konfidenz in die Werkzeuge und damit auch in
die Softwarequalitt erhht. Eine detaillierte

Umfrage zu den Qualittssicherungswerkzeugen

wurde in [5] zusammengefasst.
Die
QA
muss
ber
die
komplette
Wertschpfungskette betrachtet werden, da diese
sehr komplex ist: Da die finale Integration beim
OEM stattfindet, wird auch die finale Prfung beim
OEM durchgefhrt. Fr zugelieferte Software gibt
es unterschiedliche Vorgehensweisen:
1. Der Zugelieferte lsst sich auch den
Quelltext liefern und bindet diesen in die
eigens entwickelte Software und deren
berprfung ein;
2. Der OEM prft mittels dynamischer und
statischer Tests die Software im Hause
des Zulieferers (in einer Art Audit);
3. Der Zulieferer prft selbst und belegt dies
mittels eigener Dokumente, die in Audits
vom Zugelieferten berprft werden.
Immer hufiger wird die Konfidenz
zustzlich erhht, indem das zugelieferte
Teilprodukt vom Zulieferer zertifiziert wird.
Finden diese Lsungen auch frher in der
Wertschpfungskette statt? QPR-Technologies
hat Beispiele fr 1. und 3. bei Tier-1 gefunden,
jedoch keine bei Tier-2 und hher.
Trend: Mittels 2. wollen OEMs die solide
Prfung von zugelieferter Software frher in der
Wertschpfungskette stattfinden lassen. Die
OEMs und groen Tier-1 sind interessiert, ihre
Werkzeugportfolios zu erweitern
und zu
modernisieren. Der Standard ISO 26262 frdert
stark den Einsatz formaler Methoden. Moderne
Prozesse werden nun auch in der Entwicklung
von Embedded-Software bernommen, z.B. agile
Softwareentwicklung, Test-Driven-Development,
Prinzipien und Guidelines der Clean-CodeDevelopment [6].
Wer zertifiziert sie
Meist wird beim OEM zertifiziert, nach den
Standards ISO 26262 und MISRA. Falls
Teilkomponenten
in
sich
abgeschlossene
Produkte dastellen, werden diese auch schon
frher integriert, geprft und zertifiziert primr
von groen Tier-1.
Trend: Der junge Standard ISO 26262 wird
vom Automobilmarkt schon als unerlsslich
betrachtet [7]. Die Coding-Guideline MISRA wird
mit MISRA-2012 semantischer, d.h. es werden
mehr die konkreten Ausfhrungspfade betrachtet,
nicht nur syntaktische Muster. Es wird mehr bei
Zulieferern zertifiziert, auch bei kleineren sind
Zertifizierungen sicherheitskritischer Software
geplant. Qualifizierungs-Kits von Werkzeugen,
welche die Zertifizierung untersttzen, sowie die
Trends aus obigen Fragen verstrken diesen
Trend.

Was geschieht bei Rckrufen

Im 1. Halbjahr 2014 hat sich die Rckrufquote
mehr als verdreifacht. Automobil-Rckrufe sind
mittlerweile zu 50% software-bedingt [5]. Durch
den
starken
Anstieg
an
intelligenten
Fahrerassistenzsystemen wird sich das Verhltnis
noch verschrfen [2]. Die hufigsten Ursachen
sind: Fehlerhafte Zustandsbergnge, RaceConditions, Design-Fehler und Laufzeit-Fehler [8].
Die
Fehlerursache
und
damit
die
Haftungsfrage ist schwer lokalisierbar, da ein Auto
ein sehr komplexes System ist; z.B. ist bei
Toyotas Gaspedal-Panne [9] die Fehlerursache
erst nach vielen Jahren gefunden wurde, durch
die Fehlerfolgekosten sind die Total-Cost-ofOwnership der Software bei Toyota 1200 $ /
SLOC [10]. Meist tragen die OEMs den
Imageschaden.
Die
direkten
Folgekosten
bernimmt der OEM zuerst selbst, reicht dann
aber einen vertrags- und situations-abhngigen
Prozentsatz an den entsprechenden Zulieferer
weiter. Ein junges Gegenbeispiel ist ein AirbagRckruf von Audi, fr den Continental den Fehler
zugab und die Kosten direkt bernahm [11].
Trend: Da die Software sicherheitskritischer
und hufiger zurckgerufen wird, werden
Zertifikate, Haftungsfragen und Versicherungen

immer relevanter [2]. Zu der Komplexitt der

Systeme und Wertschpfungskette kommt bei
Rckrufen erschwerend hinzu, dass Expertise zu
Finanzen, Recht und dem jungen ISO 26262Zertifikat bentigt wird; es gibt kaum jemanden,
der die Gesamtsituation berschaut. Dies ist ein
Grund weswegen QPR-Technologies zusammen
mit KIT-EnTechnon und AXA MATRIX diese
Marktstudie durchfhren.

3 Abschluss
Die Fragen aus Kapitel 2 bewegen die
Automobilindustrie sie haben sich aus 36
Firmengesprchen (siehe Tabelle 2) im 2.
Halbjahr 2014 ergeben. Aus den Gesprchen
zeichnen sich die in Kapitel 2 gegebenen
Antworten ab, allerdings noch nicht statistisch
zuverlssig. Da die Branche und die Fragen eine
groe Relevanz haben, wird gerade diese Studie
durchgefhrt, mit den folgenden Partnern: AXA
MATRIX, Bitkom, KIT EnTechnon, QPRTechnologies.
Bitte beteiligen Sie sich an der Studie,
siehe http://www.qpr-technologies.com/studie.

Tabelle 2: Befragte Unternehmen und sonstige Organisationen

AbsInt

Andrena Objects

ArcCore

Audi

AXA MATRIX

Axivion

BAIKA

Bitkom

Berner& Mattner

Bosch

BMW

Carneios

Daimler

Dspace

ETAS

FZI

GE

Gentele-Kollegen

Green Hills

Harman/Becker

Hitex

Implisense

Intel Automotive

Invenio

ITK Engineering

KTC

Porsche

Red Lizard

Schaeffler

Schaeffler-LUK

Siemens

SoftwareInMotion SQ-Software

QNX

Vector Informatik

Verified Systems

4 Referenzen
[1] Darren Buttle. Under the Hood: Model-Based
Development in the Automotive Industry. ECMFA
2014 Keynote.
[2] Josh Becker, Byron Holz. Smart Cars: On the Road to IP
and Product Liability Issues. http://goo.gl/FmSHqv
[3] QPR-Technologies: ein Spin-off des Karlsruher Institut
fr Technologie. http://www.qpr-technologies.com
[4] Center of Automotive Managements: Automotive
PERFORMANCE 2014. http://goo.gl/5ktPXt
[5] Harald Altinger et al: Testing Methods Used in the
Automotive Industry: Results from a Survey. JAMAICA
2014 Workshop
[6] Embedded Clean code: http://www.embedded-cleancode.de
[7] Qi Hommes,. Assessment of the ISO 26262 Standard.
SAE 2012 Government/Industry Meeting

[8] Udo Gleich. Static Analysis At Daimler. DagstuhlSeminar Next Generation Static Analysis Tools, 2014
[9] Spiegel. Gaspedal-Panne: Toyota muss in den USA
Milliardenstrafe zahlen. 19. Mrz 2014.
http://goo.gl/46QUuj
[10] Jack Ganssle. The Way Ahead in Embedded Software
Engineering. ESE 2014 Keynote
[11] Reuters. Continental fr Audi-Rckruf wegen AirbagFehler verantwortlich. 31. Oktober 2014
[12] David Farago et al: Automatic Heavy-weight Static
Analysis Tools for Finding Bugs in Safety-critical
Embedded C/C++ Code. GI TAV 36 Workshop