magazine - Das Virtuelle Fahrzeug
magazine - Das Virtuelle Fahrzeug
magazine - Das Virtuelle Fahrzeug
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
und gesellschaftlich akzeptiertes Restrisiko<br />
reduziert werden. Mit der stetig wachsenden<br />
Komplexität elektronischer Komponenten in<br />
<strong>Fahrzeug</strong>en steigt auch die Wahrscheinlichkeit<br />
möglicher Fehlfunktionen. Ist eine sicherheitsrelevante<br />
Komponente von einer solchen Fehlfunktion<br />
betroffen, so könnten dadurch Menschen<br />
zu Schaden kommen.<br />
Neue Herausforderungen in der<br />
Automobilentwicklung<br />
Was ändert sich durch die ISO 26262 für die<br />
bisherigen Phasen der Automobilentwicklung?<br />
Neu ist die Einführung einer eigenständigen<br />
Konzeptphase vor dem Start der System-Entwicklung.<br />
Die Ausarbeitung eines funktionalen<br />
Sicherheitskonzepts für die Umsetzung von<br />
Sicherheitszielen wurde bisher nicht in dieser<br />
Form durchgeführt. In ISO 26262 ist beschrieben,<br />
welche Anforderungen für eine standardkonforme<br />
Umsetzung nachzuweisen sind. Wie<br />
die Norm mit allen zu erfüllenden Vorgaben an<br />
das Management, an die Entwicklungs- und<br />
Analysemethodik bis hin zur Verifikation und<br />
Validierung in die bestehende Prozesslandschaft<br />
eingeführt werden kann, stellt derzeit<br />
die Autohersteller als auch deren Zulieferer vor<br />
eine besondere Herausforderung.<br />
Ausarbeitung des geforderten<br />
Sicherheitskonzepts<br />
Spezifikation des Systems<br />
Zu Beginn der Konzeptphase erfolgt eine detaillierte<br />
Beschreibung des Entwicklungsgegenstandes,<br />
für den der Sicherheitsnachweis zu<br />
erbringen ist. In diesem Dokument sollen alle<br />
bekannten Eigenschaften und Einschränkungen<br />
enthalten sein. Diese sogenannte „Item-Definition“<br />
ist notwendig, damit für jedes Teil-System<br />
die Erfüllung der Sicherheitsanforderungen<br />
belegt werden kann. Dieser Teilnachweis muss<br />
als Beitrag zum Sicherheitsnachweis des Gesamtsystems<br />
(<strong>Fahrzeug</strong>) bestehen und hierzu<br />
integriert werden können.<br />
Für die Sicherheitsbetrachtung eines Batteriesystems<br />
müssen somit Informationen und<br />
fundierte Testergebnisse vorliegen, mit denen<br />
das Verhalten der Energiespeicherzellen über<br />
deren zulässigen Betriebsgrenzen hinaus analysiert<br />
werden kann. Anhand dieser Daten ist<br />
es dann für ein Batteriesystem möglich, eine<br />
erste aussagekräftige Erhebung der Gefähr-<br />
dungen vorzunehmen, die im Fehlerfall auftreten<br />
könnten.<br />
Gefährdungsanalyse und Risikoeinschätzung<br />
(G&R)<br />
Durch Fehlfunktionen der Betrachtungseinheit<br />
können Gefährdungen für den Menschen<br />
auftreten. Diese werden in der G&R erhoben,<br />
wobei kritische Situationen analysiert werden,<br />
die Kombinationen aus Gefährdungen und bestimmten<br />
Betriebs-/Fahrsituationen darstellen.<br />
<strong>Das</strong> auftretende Risiko wird dabei mit einem<br />
bestimmten „Automotive Safety Integrity Level“<br />
(ASIL) eingestuft. Alle nachfolgenden Anforderungen<br />
der Entwicklungsphasen der ISO 26262<br />
sind von diesem festgelegten ASIL abhängig.<br />
Mit steigendem ASIL steigen auch die Aufwände<br />
für die Entwicklung von sicherheitsrelevanten<br />
E/E-Systemen. Umso mehr Relevanz<br />
erhält somit die Konzeptphase.<br />
Betrachtet man eine Situation in der eine Überladung<br />
eines Batteriesystems auftreten könnte,<br />
so ist dies etwa im Lademodus möglich. <strong>Das</strong><br />
<strong>Fahrzeug</strong> wird dabei von einer externen Ladeeinheit<br />
versorgt. Diese Situation muss nun mit<br />
den in der Norm definierten Faktoren bewertet<br />
werden und daraus kann der resultierende<br />
ASIL direkt abgeleitet werden. Für jede Gefahrensituation<br />
ist ein Sicherheitsziel festzulegen,<br />
das den entsprechenden ASIL erbt. Dieses Sicherheitsziel<br />
ist so zu formulieren, dass damit<br />
in jeder Situation eine Gefährdung durch das<br />
Energiespeichersystems verhindert werden<br />
kann. Diese Sicherheitsziele stellen die oberste<br />
Sicherheitsanforderung in der Entwicklung dar.<br />
Abwenden der Gefährdungen im funktionalen<br />
Sicherheitskonzept<br />
Mit der Ausarbeitung des funktionalen Sicherheitskonzeptes<br />
erfolgt die Formulierung von<br />
funktionalen Sicherheitsanforderungen und deren<br />
Zuordnung an die Hauptelemente der Betrachtungseinheit.<br />
Jedes Sicherheitsziel, das<br />
durch eine E/E-Sicherheitsfunktion umgesetzt<br />
werden soll, wird dabei als funktionale Kette<br />
(Sensorik, Verarbeitungseinheit, Aktuatorik)<br />
zusammengesetzt. Jedes dieser Elemente erbt<br />
den ASIL des Sicherheitszieles. Die Funktion<br />
wird dabei so definiert, dass der sichere Zustand<br />
der Betrachtungseinheit für das Sicherheitsziel<br />
jederzeit gewährleistet wird. Am Ende<br />
der System-Entwicklung ist eine Sicherheits-<br />
Validierung durchzuführen. Dazu müssen zum<br />
Nachweis der Erfüllung der Sicherheitsziele,<br />
Endabnahmekriterien bereits im funktionalen<br />
Sicherheitskonzept formuliert werden.<br />
Freigabe für die Entwicklung<br />
Den Abschluss der Konzeptphase stellt die<br />
Prüfung der G&R und des funktionalen Sicherheitskonzeptes<br />
durch eine externe Organisation<br />
(z.B. TÜV) dar. Auf Basis des geprüften<br />
funktionalen Sicherheitskonzeptes erfolgt die<br />
weitere Entwicklung auf der Systemebene mit<br />
der Erstellung eines technischen Sicherheitskonzeptes.<br />
Am Ende der Entwicklung ist eine<br />
belastbare Argumentation mit entsprechenden<br />
Nachweisen zu dokumentieren, um die angewandten<br />
Methoden und das Vorgehen in den<br />
einzelnen Entwicklungsschritten ausreichend<br />
zu belegen.<br />
Forschungsthema Funktionale<br />
Sicherheit<br />
Funktionale Sicherheit ist für die zukünftige<br />
<strong>Fahrzeug</strong>industrie von enormer Bedeutung.<br />
<strong>Das</strong> stetige Wachstum der Komplexität mit<br />
der Einführung der E-Mobilität wird damit beherrschbar.<br />
Auch am ViF hat daher das Thema Funktionale<br />
Sicherheit einen besonderen Stellenwert<br />
erlangt und wird im Rahmen von Projekten mit<br />
internationaler Beteiligung erforscht. Schwerpunkte<br />
liegen auf den Gebieten der Konzeptphase,<br />
Sicherheitsanalysen, Integration der<br />
Sicherheit in bestehende Entwicklungsprozesse<br />
sowie Sicherheitszertifizierung von E/E-<br />
Systemen. ■<br />
Zu den Autoren<br />
DI Helmut Martin ist<br />
Senior Researcher am<br />
VIRTUAL VEHICLE;<br />
Forschungsthema: Funktionale<br />
Sicherheit<br />
DI Joachim Hillebrand<br />
leitet die Gruppe für<br />
Embedded Systems am<br />
VIRTUAL VEHICLE.<br />
<strong>magazine</strong> Nr. 11, I-2012<br />
15