magazine - Das Virtuelle Fahrzeug

und gesellschaftlich akzeptiertes Restrisiko
reduziert werden. Mit der stetig wachsenden
Komplexität elektronischer Komponenten in
Fahrzeugen steigt auch die Wahrscheinlichkeit
möglicher Fehlfunktionen. Ist eine sicherheitsrelevante
Komponente von einer solchen Fehlfunktion
betroffen, so könnten dadurch Menschen
zu Schaden kommen.
Neue Herausforderungen in der
Automobilentwicklung
Was ändert sich durch die ISO 26262 für die
bisherigen Phasen der Automobilentwicklung?
Neu ist die Einführung einer eigenständigen
Konzeptphase vor dem Start der System-Entwicklung.
Die Ausarbeitung eines funktionalen
Sicherheitskonzepts für die Umsetzung von
Sicherheitszielen wurde bisher nicht in dieser
Form durchgeführt. In ISO 26262 ist beschrieben,
welche Anforderungen für eine standardkonforme
Umsetzung nachzuweisen sind. Wie
die Norm mit allen zu erfüllenden Vorgaben an
das Management, an die Entwicklungs- und
Analysemethodik bis hin zur Verifikation und
Validierung in die bestehende Prozesslandschaft
eingeführt werden kann, stellt derzeit
die Autohersteller als auch deren Zulieferer vor
eine besondere Herausforderung.
Ausarbeitung des geforderten
Sicherheitskonzepts
Spezifikation des Systems
Zu Beginn der Konzeptphase erfolgt eine detaillierte
Beschreibung des Entwicklungsgegenstandes,
für den der Sicherheitsnachweis zu
erbringen ist. In diesem Dokument sollen alle
bekannten Eigenschaften und Einschränkungen
enthalten sein. Diese sogenannte „Item-Definition“
ist notwendig, damit für jedes Teil-System
die Erfüllung der Sicherheitsanforderungen
belegt werden kann. Dieser Teilnachweis muss
als Beitrag zum Sicherheitsnachweis des Gesamtsystems
(Fahrzeug) bestehen und hierzu
integriert werden können.
Für die Sicherheitsbetrachtung eines Batteriesystems
müssen somit Informationen und
fundierte Testergebnisse vorliegen, mit denen
das Verhalten der Energiespeicherzellen über
deren zulässigen Betriebsgrenzen hinaus analysiert
werden kann. Anhand dieser Daten ist
es dann für ein Batteriesystem möglich, eine
erste aussagekräftige Erhebung der Gefähr-
dungen vorzunehmen, die im Fehlerfall auftreten
könnten.
Gefährdungsanalyse und Risikoeinschätzung
(G&R)
Durch Fehlfunktionen der Betrachtungseinheit
können Gefährdungen für den Menschen
auftreten. Diese werden in der G&R erhoben,
wobei kritische Situationen analysiert werden,
die Kombinationen aus Gefährdungen und bestimmten
Betriebs-/Fahrsituationen darstellen.
Das auftretende Risiko wird dabei mit einem
bestimmten „Automotive Safety Integrity Level“
(ASIL) eingestuft. Alle nachfolgenden Anforderungen
der Entwicklungsphasen der ISO 26262
sind von diesem festgelegten ASIL abhängig.
Mit steigendem ASIL steigen auch die Aufwände
für die Entwicklung von sicherheitsrelevanten
E/E-Systemen. Umso mehr Relevanz
erhält somit die Konzeptphase.
Betrachtet man eine Situation in der eine Überladung
eines Batteriesystems auftreten könnte,
so ist dies etwa im Lademodus möglich. Das
Fahrzeug wird dabei von einer externen Ladeeinheit
versorgt. Diese Situation muss nun mit
den in der Norm definierten Faktoren bewertet
werden und daraus kann der resultierende
ASIL direkt abgeleitet werden. Für jede Gefahrensituation
ist ein Sicherheitsziel festzulegen,
das den entsprechenden ASIL erbt. Dieses Sicherheitsziel
ist so zu formulieren, dass damit
in jeder Situation eine Gefährdung durch das
Energiespeichersystems verhindert werden
kann. Diese Sicherheitsziele stellen die oberste
Sicherheitsanforderung in der Entwicklung dar.
Abwenden der Gefährdungen im funktionalen
Sicherheitskonzept
Mit der Ausarbeitung des funktionalen Sicherheitskonzeptes
erfolgt die Formulierung von
funktionalen Sicherheitsanforderungen und deren
Zuordnung an die Hauptelemente der Betrachtungseinheit.
Jedes Sicherheitsziel, das
durch eine E/E-Sicherheitsfunktion umgesetzt
werden soll, wird dabei als funktionale Kette
(Sensorik, Verarbeitungseinheit, Aktuatorik)
zusammengesetzt. Jedes dieser Elemente erbt
den ASIL des Sicherheitszieles. Die Funktion
wird dabei so definiert, dass der sichere Zustand
der Betrachtungseinheit für das Sicherheitsziel
jederzeit gewährleistet wird. Am Ende
der System-Entwicklung ist eine Sicherheits-
Validierung durchzuführen. Dazu müssen zum
Nachweis der Erfüllung der Sicherheitsziele,
Endabnahmekriterien bereits im funktionalen
Sicherheitskonzept formuliert werden.
Freigabe für die Entwicklung
Den Abschluss der Konzeptphase stellt die
Prüfung der G&R und des funktionalen Sicherheitskonzeptes
durch eine externe Organisation
(z.B. TÜV) dar. Auf Basis des geprüften
funktionalen Sicherheitskonzeptes erfolgt die
weitere Entwicklung auf der Systemebene mit
der Erstellung eines technischen Sicherheitskonzeptes.
Am Ende der Entwicklung ist eine
belastbare Argumentation mit entsprechenden
Nachweisen zu dokumentieren, um die angewandten
Methoden und das Vorgehen in den
einzelnen Entwicklungsschritten ausreichend
zu belegen.
Forschungsthema Funktionale
Sicherheit
Funktionale Sicherheit ist für die zukünftige
Fahrzeugindustrie von enormer Bedeutung.
Das stetige Wachstum der Komplexität mit
der Einführung der E-Mobilität wird damit beherrschbar.
Auch am ViF hat daher das Thema Funktionale
Sicherheit einen besonderen Stellenwert
erlangt und wird im Rahmen von Projekten mit
internationaler Beteiligung erforscht. Schwerpunkte
liegen auf den Gebieten der Konzeptphase,
Sicherheitsanalysen, Integration der
Sicherheit in bestehende Entwicklungsprozesse
sowie Sicherheitszertifizierung von E/E-
Systemen. ■
Zu den Autoren
DI Helmut Martin ist
Senior Researcher am
VIRTUAL VEHICLE;
Forschungsthema: Funktionale
Sicherheit
DI Joachim Hillebrand
leitet die Gruppe für
Embedded Systems am
VIRTUAL VEHICLE.
magazine Nr. 11, I-2012
15