Paper (pdf) - Berner & Mattner
Paper (pdf) - Berner & Mattner
Paper (pdf) - Berner & Mattner
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Von der Komponenten- zur Funktionsorientierten<br />
Entwicklung in der Funktionalen Sicherheit<br />
Passing from component-oriented to function-oriented<br />
development in the domain of Functional Safety<br />
Dr.-Ing. B. Kaiser, <strong>Berner</strong>&<strong>Mattner</strong>, Berlin;<br />
Dipl.-Ing. B. Augustin, AUDI AG, Ingolstadt,<br />
Dipl.-Math. C. Baumann, AUDI AG, Ingolstadt<br />
Kurzfassung<br />
In den letzten Jahren kam es in der Automobilindustrie zu einem Paradigmenwechsel von<br />
der komponentenorientierten hin zu einer funktionsorientierten Entwicklung: Komponentenübergreifende<br />
Systeme werden zunächst als Ganzes funktional modelliert, erst in einem<br />
zweiten Schritt erfolgt die Allokation auf technische Komponenten. Auch die Methoden der<br />
Funktionalen Sicherheit (FuSi) müssen sich an das neue Paradigma anpassen, da bspw. die<br />
für die Gefährdungsanalyse wesentliche Definition der Betrachtungseinheit (“Item”)<br />
schwieriger wird, die Abgrenzung funktionales vs. technisches Sicherheitskonzept eine ganz<br />
neue Bedeutung erhält und die Sicherheitsanalysen sich neben Komponentenfehlern auch<br />
auf Fehler im Zusammenwirken fokussieren müssen. Da der maßgebliche FuSi-Standard<br />
ISO 26262 die funktionsorientierte Entwicklung nicht explizit adressiert, liefert der<br />
vorliegende Artikel einige Vorschläge, wie diese Norm im Kontext der funktionsorientierten<br />
Entwicklung ausgelegt werden kann.<br />
Abstract<br />
During the last couple of years, the paradigm of component-oriented development has been<br />
shifting towards a function-oriented approach: complex functions that span across many<br />
ECUs are first modeled and designed as a whole, and then the allocation to technical<br />
components is done in a separate step. Also functional safety methods need to reflect this<br />
new paradigm, as, for instance, the definition of the “item” for the hazard analysis becomes<br />
more difficult, the separation of functional and technical safety concept gets a new<br />
interpretation, and safety analyses have to focus more and more on failures of collaboration,<br />
in addition to component failures. As the current standard ISO 26262 does not address<br />
function-oriented development explicitly, the present article makes some proposals on how to<br />
interpret the ISO 26262 in the context of function oriented development.
1. Von der Komponenten- zur Funktionsorientierten Entwicklung<br />
Traditionell denkt die Automobilbranche komponentenorientiert: die Entwicklung findet in den<br />
Domänen Antrieb, Fahrwerk, Karosserie und Innenraum statt, dort wird nach Systemen,<br />
Baugruppen und schließlich Bauteilen strukturiert, die jeweils dedizierte Funktionen ausüben.<br />
Die Funktionen vormals rein mechanischer Bauteile wurden durch elektronische Systeme<br />
erweitert oder ganz übernommen, wobei aber immer noch ein Steuergerät (auch ECU<br />
genannt, für Electronic Control Unit) genau einem mechatronischen System zugeordnet und<br />
auf dessen abgegrenzten Funktionsbereich hin optimiert war. In diesem Setting war die<br />
komponentenorientierte Entwicklung optimal, da die Expertise bezüglich Hardware,<br />
Software, Mechanik und Einsatzumgebung an einer Stelle gebündelt war.<br />
Die Vernetzung der Komponenten in Verbindung mit immer leistungsfähigerer Hard- und<br />
Software und Sensorik erlaubte die Evolution neuer, bereichsübergreifender Funktionen zur<br />
Steigerung von Komfort und Sicherheit. So konnte die im Bremsensteuergerät<br />
untergebrachte ABS/ESC-Funktion das Antriebsmanagement im Motorsteuergerät anweisen,<br />
nach Bedarf das Motordrehmoment zu reduzieren oder über die elektrische Servolenkung<br />
auf den Lenkwinkel einwirken. Noch immer ließ sich die komponentenorientierte Sicht<br />
aufrechterhalten, da die Funktion im Wesentlichen auf einem Steuergerät „gehosted“ war (im<br />
Beispiel dem Bremsensteuergerät) und die mit dessen Entwicklung betraute Abteilung in der<br />
Verantwortung für die ganze Funktion war.<br />
Die heute bereits vorhandenen Hardwaresysteme ermöglichen weitere Synergien und damit<br />
neue Funktionen, die mit geringem Zusatzaufwand realisierbar sind. Beispiele sind<br />
Parkassistenten, die unter Zugriff auf vorhandene Sensoriken (z.B. der etablierten Funktion<br />
Park Distance Control) und unter Beeinflussung mehrerer der vorhandenen Aktuatoren einen<br />
weitgehend autonomen Ein- und Ausparkvorgang gestatten. Diese Funktionen<br />
überschneiden sich bezüglich Sensor- und Aktuator-Zugriff mit anderen übergreifenden<br />
Funktionen, etwa Spurhalteassistent, Notbremsassistent oder autonome Notbremsung<br />
(siehe Bild 1). Ein Ende dieser Entwicklung ist nicht absehbar, da für die nächsten Jahre<br />
auch das hochautomatisierte Fahren auf der Agenda für die Serieneinführung steht.<br />
Es wird also zur Kernkompetenz der Fahrzeughersteller, komponentenübergreifende<br />
Funktionen und deren Interaktion – auch in Gegenwart von Fehlern und<br />
Funktionseinschränkungen – disziplinübergreifend spezifizieren, modellieren und verifizieren<br />
zu können, wozu alle Entwicklungsbereiche enger als bisher werden kooperieren müssen.<br />
Um sich dieser Herausforderung zu stellen, begannen viele Automobilunternehmen<br />
umzudenken und von einer komponentenorientierten zu einer funktionsorientierten<br />
Entwicklung überzugehen [1].
Power Steering<br />
EPS ECU<br />
M<br />
Lane Assist<br />
Camera<br />
LDW ECU<br />
Algorithm<br />
Park Assist<br />
Ultrasonic Sensors<br />
PDC ECU<br />
Algorithm<br />
Motor Reg<br />
Engine ECU<br />
ABS / ESP<br />
Wheel Sensor<br />
Brake<br />
Pedal<br />
ABS/ESC<br />
ESC ECU<br />
Brake<br />
Bild 1: Hochvernetzter und steuergeräteübergreifender Funktionskomplex<br />
2. Kurze Darstellung der Funktionsorientierten Entwicklung<br />
In der funktionsorientierten Entwicklung wird zunächst jede kundenerlebbare Funktion<br />
möglichst unabhängig von einer späteren technischen Umsetzung definiert und das auf<br />
Fahrzeugebene erlebbare Sollverhalten durch Funktionsblöcke modelliert. So wird einerseits<br />
eine frühe Validation durch Simulation und Rapid Prototyping möglich und andererseits das<br />
Ziel verfolgt, die Funktion in möglichst vielen verschiedenen Fahrzeugprojekten einsetzen zu<br />
können.<br />
Für neue Funktionen folgt dann eine Systemarchitekturphase. In dieser werden die<br />
funktionalen Anforderungen aller im Projekt eingeplanten Funktionen auf die<br />
Fahrzeugarchitektur abgebildet und die Funktionsblöcke auf tatsächliche Komponenten<br />
(Sensorik, Aktuatorik, Steuergeräte) des jeweiligen Fahrzeugs allokiert. Jede Komponente<br />
erhält folglich Anforderungen aus diversen Funktionen, die miteinander zu vereinigen und auf<br />
Widersprüche und gesamtheitliche Umsetzbarkeit zu prüfen sind. Dabei liegt deutlich mehr<br />
Verantwortung als in der Vergangenheit auf der Rolle des Systemarchitekten, der Aspekte<br />
wie die Funktionsarchitektur im Fahrzeug, Bus-Latenzen, Rechenkapazitäten der
Steuergeräte, Fähigkeiten der Sensorik, Feature Interaction und Verhalten bei<br />
Komponentenausfällen berücksichtigen muss.<br />
Das vermehrte Aufkommen teil- und hochautomatisierter Assistenzfunktionen potenziert die<br />
Anforderung funktionsorientiert zu entwickeln, da sich solche Funktionen zum großen Teil<br />
dieselben Sensoren und Aktuatoren teilen. Es bietet sich an, ihre Kernfunktionen in einem<br />
zentralen Fahrerassistenzsteuergerät (kurz: zFAS) zu bündeln, wo alle ihre Eingangsdaten<br />
(d.h. Input der Sensorik) und Ausgangsdaten (d.h. Output zur Aktuatorik) über einheitliche<br />
Schnittstellen kanalisiert werden (siehe Bild 2). So wird eine Auflösung eventueller<br />
Widersprüche zwischen Funktionen durch zentrale Arbitrierung und eine gemeinsame<br />
Rückfallstrategie bei Sensorausfällen möglich.<br />
Ego-<br />
Bewegungs-<br />
Sensorik<br />
Radar Ultraschall<br />
Laser<br />
Sensoren<br />
Kamera<br />
Sensordatenfusion<br />
Bewegungsmanager<br />
Bild 2: Systemarchitekturlösung mit zFAS<br />
Um den Lösungsraum nicht einzuschränken, machen die Funktionsverantwortlichen keine<br />
konkreten Vorgaben über Typ und Leistungsfähigkeit einzelner Sensoren, sondern<br />
beschreiben auf funktionaler Ebene die Objekte, die erkannt werden sollen, einschließlich<br />
Genauigkeits- und Entfernungsangaben, bleiben also auf funktionaler Ebene. Die<br />
Systemdesigner haben anschließend zu bewerten, mit welcher Sensorik die geforderten<br />
Gütemaße erfüllt werden können und wählen entsprechend das fahrzeugprojekt-spezifische<br />
Sensorset aus.<br />
Der weitere Entwicklungsprozess verläuft weitgehend analog zur klassischen<br />
komponentenorientierten Entwicklung, i.d.R. bei den verschiedenen Komponentenlieferanten<br />
entsprechend dem V-Modell. Die System-Integrationsebene – als Gegenpart zur System-
Architektur-Ebene im linken V-Ast – hat im rechten V-Ast eine herausgehobene Bedeutung.<br />
Beim Validationstest am Ende des V’s dienen schließlich die Funktionsbeschreibungen vom<br />
Beginn der funktionsorientierten Entwicklung als Referenz (vgl. Bild 3).<br />
Bild 3: Darstellung der funktionsorientierten Entwicklung als V-Modell<br />
3. Neue Herausforderungen für den Prozess der Funktionalen Sicherheit<br />
Zur Umstellung des Entwicklungsprozesses auf die funktionsorientierte Entwicklung kommt<br />
als weitere Herausforderung hinzu, dass quasi alle in Frage kommenden Systeme<br />
sicherheitsrelevant sind und daher die Forderungen der ISO 26262 [2] zusätzlich in diesen<br />
funktionsorientierten Prozess zu integrieren sind. Das domänenübergreifende Erstellen von<br />
FuSi-Artefakten wie Sicherheitskonzepten ist für viele FuSi-Verantwortliche noch Neuland.<br />
Hazards resultieren im Bereich des hochautomatisierten Fahrens nicht nur aus Fehlern in<br />
einzelnen Komponenten, sondern auch aus Fehlern im Zusammenspiel der verschiedenen<br />
Funktionen und Steuergeräte, was den Fokus von Sicherheitsanalysen verschiebt. Bei der<br />
Objekterkennung ist die Güte der Sensoriken und Auswertungsalgorithmen für die Sicherheit<br />
auf Fahrzeugebene entscheidend, so dass die Grenzen zwischen FuSi, Gebrauchssicherheit<br />
und nomineller Performanz zu verschwimmen beginnen. Zusätzlich ist beim<br />
hochautomatisierten Fahren im höheren Geschwindigkeitsbereich eine fail-safe Eigenschaft<br />
der Funktion nicht mehr ausreichend, da es keinen unmittelbar erreichbaren sicheren<br />
Zustand gibt und dieser erst durch einen (evtl. eingeschränkten) fail-operational Betrieb<br />
erreicht werden kann. Deshalb muss die FuSi auf Systemebene Aspekte wie Redundanz,
Mehrkanaligkeit und Schutz vor gemeinsamen Fehlern deutlich stärker als bisher<br />
berücksichtigen.<br />
4. Integration der FuSi-Aktivitäten in die Funktionsorientierte Entwicklung<br />
In der Praxis hat sich als vorteilhaft herausgestellt, den funktionsorientierten Prozess als<br />
Vorlage zu nehmen und die FuSi-Aktivitäten darauf abzubilden. Wie sich auch beim<br />
funktionsorientierten Entwicklungsansatz Vorteile bzgl. Portabilität (bzgl. Fahrzeugprojekte)<br />
und Skalierbarkeit (bzgl. Fzg.architekturen, bspw. neuer Bustopologien) ergeben, führen die<br />
so entstehenden Synergien auch in der FuSi zu Verbesserungen bezogen auf Systematik<br />
und Effizienz. Die folgenden Erkenntnisse wurden aus Praxisprojekten gewonnen, bei denen<br />
die Vorgaben der ISO 26262 auf funktionsorientierte Entwicklungsvorhaben interpretiert<br />
wurden. Es werden die jeweiligen Besonderheiten der Hauptaktivitäten der ISO 26262<br />
vorgestellt.<br />
4.1. Item Definition<br />
Bereits bei der Item Definition ist einiges zu beachten, denn dieses bildet die Grundlage für<br />
die Gefährdungsanalyse und Risikobewertung (G&R) und grenzt den Arbeitsumfang des<br />
gesamten nachfolgenden Sicherheitsprozesses ab. Die ISO 26262 verortet Hazards auf<br />
Fahrzeugebene – und dort sind es primär die Aktuatoren, die Unfallszenarien auslösen.<br />
Auch wenn althergebrachte Aktuatoren wie Lenkung und Bremse nicht zur Assistenzfunktion<br />
im engeren Sinne gerechnet werden, sind sie Teil der Funktion und damit des Items. Es<br />
bietet es sich an, für die G&R die Aktuatorik in den Scope mit einzubeziehen (und dabei von<br />
vorhandenen G&Rs aus dem Fahrwerksbereich zu profitieren), im späteren System-<br />
Sicherheitskonzept jedoch nur den reduzierten Scope des Funktionskernumfangs technisch<br />
auszudefinieren. Somit unterscheidet die Item Definition also künftig mehrere „Scopes“ (man<br />
denke an verschiedenfarbige Umrahmungen von Teilkomplexen) und es ist auf diese Weise<br />
auch möglich, eine gemeinsame Item Definition für mehrere eng verwandte Funktionen (so<br />
genannte Funktionskomplexe) auf einmal zu erstellen und diese durch Scopes abzugrenzen,<br />
was Aufwand reduziert und Inkonsistenzen verhindert.<br />
4.2. Gefährdungsanalyse und Risikobewertung (G&R)<br />
Werden die o.g. Ratschläge bezüglich der Item Definition beherzigt, so wird auch die G&R<br />
durch den neuen funktionsorientierten Ansatz vereinfacht und vereinheitlicht. So ist es etwa<br />
bei der Gefährdung „Fehllenker bei Autobahnfahrt“ auf Fahrzeugebene gleichgültig, ob
dieser verursacht wird durch einen fehlerhaften Steuerbefehl eines Parkassistenten oder<br />
durch einen internen Hardwarefehler des Lenkungssteuergeräts.<br />
In der bisherigen komponentenorientierten Sicht hatten Analysten „innenliegender“<br />
Komponenten oft die Schwierigkeit, bewertbare Gefährdungen auf Fahrzeugebene zu<br />
analysieren, da solche Steuergeräte keinen unmittelbaren Zugriff auf Aktuatoren, sondern<br />
meist nur Bus-Schnittstellen zu den Aktuator-Steuergeräten haben. In der<br />
funktionsorientierten Sicht legen nun die Experten aller beteiligten Disziplinen (Sensorik,<br />
Verarbeitung, Aktuatorik, Fahrerinterface) unter Leitung des Funktionsverantwortlichen die<br />
gesamte Wirkkette der Funktion aus und analysieren diese auch bezüglich FuSi. Dadurch<br />
steht bei der G&R eine höhere Expertise zur Verfügung und es tritt eine Verbesserung der<br />
Konsistenz und eine Effizienzsteigerung durch Wiederverwendung ein.<br />
Beim Übergang zum automatisierten Fahren scheint es zudem sinnvoll, die Gefährdungen<br />
bei einer aktivierten automatisierten Funktion nicht mehr aktuatororientiert, sondern vielmehr<br />
freiraum- bzw. trajektorienorientiert zu betrachten. Im automatisierten Modus ist bspw. der<br />
Begriff „Selbstlenker“ für einen Hazard an sich schon fragwürdig, aber selbst der Term<br />
„Fehllenker“ wäre nicht ohne Bezug zur Längsdynamik und zur Umgebungssituation zu<br />
definieren. Somit erscheint die Suche nach Hazards alleine des Aktuators „Lenkung“ nicht<br />
mehr zielführend – ein Hazard tritt nämlich erst dann auf, wenn durch das Zusammenspiel<br />
von Antrieb, Lenkung und Bremse der tatsächliche Freiraum um das Fahrzeug verletzt wird<br />
und Kollisionen entstehen können. Somit erhält man auch bereits in der G&R einen<br />
Übergang von einer komponentenorientierten zu einer funktionsorientierten Denkweise.<br />
4.3. Funktionales Sicherheitskonzept (FuSiKo)<br />
In der Vergangenheit gingen funktionales und technisches Sicherheitskonzept oft fließend<br />
ineinander über – das FuSiKo als grobere Vorstufe des technischen Konzepts – und waren<br />
folglich in gleicher Weise, meist nach Sicherheitszielen, strukturiert. Dies sorgt zwar auf den<br />
oberen Gliederungsebenen für gute Übersicht, zwingt aber bei weiterem Vordringen in die<br />
technischen Details zu häufigen Wiederholungen oder Querverweisen, weil<br />
Komponentenfehler mehrere Gefährdungen verursachen können, weil technische<br />
Maßnahmen mehreren Sicherheitszielen auf einmal dienen können und vor allem, weil<br />
Sicherheitsmaßnahmen an anderer Stelle allokiert sein können als dem Entstehungsort der<br />
zugeordneten Fehler. Somit ist diese klassische Strukturierung bei verteilten Systemen mit<br />
hoher Funktionsüberschneidung weder der Verständlichkeit förderlich, noch der<br />
wünschenswerten definierten Wiederverwendung von Teilen des Sicherheitskonzepts.
In der funktionsorientierten Entwicklung bietet es sich nun an, funktionales und technisches<br />
Sicherheitskonzept stärker zu trennen und ihnen klare Aufgaben zuzuweisen: das FuSiKo,<br />
das weiterhin nach Sicherheitszielen strukturiert wird, wird einmal pro Fahrzeugfunktion<br />
erstellt. Es bricht die Sicherheitsziele herunter auf Sicherheits-Features (z.B. Integrität der<br />
Abstandserfassung zu einem Hindernis), die durch funktionale (technologieunabhängige)<br />
Anforderungen ausdefiniert werden, z.B. „Es ist sicherzustellen, dass alle Fehler, die zur<br />
Nichtentdeckung oder zur verspäteten Entdeckung von Hindernissen führen können, sicher<br />
entdeckt und übermittelt werden und zur geordneten Beendigung der Funktion führen.“<br />
Solche Anforderungen beziehen sich nicht auf eine spezifische Sensortechnologie und<br />
nennen auch keine konkreten technischen Maßnahmen wie Plausibilisierungen. Die<br />
Anforderungen sind bewusst abstrakt formuliert (z.B. „Jegliche … sind zu verhindern.“),<br />
damit sie sich leicht in die technologieunabhängige funktionale Anforderungsspezifikation<br />
integrieren lassen und unverändert weiter gelten, wenn dieselbe Funktion in einem späteren<br />
Fahrzeugprojekt mit anderen technischen Mitteln realisiert wird.<br />
Die Betrachtungen im FuSiKo basieren auf dem Funktionsblockmodell, das aus der<br />
Funktionsspezifikation übernommen wird. Hieran werden die Auswirkungen möglicher Fehler<br />
untersucht und funktionale Maßnahmen dagegen definiert. Die Sicherheitsanforderungen<br />
werden vorhandenen Funktionsblöcken (z.B. Sensordatenfusion, Bewegungsmanager)<br />
zugeordnet, wobei es zusätzlich nötig werden kann, neue Funktionsblöcke speziell für die<br />
Erfüllung der Sicherheitsanforderungen hinzuzufügen: Entsprechend der freiraumorientierten<br />
Hazard-Definition aus der G&R, liegt z.B. es bei teil- und hochautomatisiertem Fahren nahe,<br />
einen neuen Funktionsblock vorzusehen, der sich drohenden Kollisionen zwischen Ego-<br />
Fahrzeug und Umgebung widmet. Dieser „Kollisionswächter“ ist somit der „ASIL-Träger“ der<br />
Funktion, während viele weitere Teile der Funktion anschließend ohne (bzw. mit geringeren)<br />
Sicherheitsanforderungen auskommen.<br />
4.4. Systemsicherheitskonzept (SysSiKo)<br />
Das SysSiKo ist das FuSi-seitige Gegenstück zur Systemarchitektur, denn wie diese allokiert<br />
es die abstrakten Sicherheitsfunktionen auf konkrete technische Komponenten. Hier laufen<br />
die Anforderungen aus den FuSiKos aller Funktionen zusammen (siehe Bild 4). Das SysSiKo<br />
wird entsprechend vom OEM erstellt und kann interpretiert werden als komponentenübergreifender<br />
Teil des technischen Sicherheitskonzept gem. ISO 26262 (der detailliertere<br />
Teil des technischen Sicherheitskonzepts, der sich bspw. mit der Absicherung von<br />
Mikroprozessoren befasst, wird weiterhin vom Zulieferer erstellt).
Bild 4: Zusammenhang FuSiKo / SysSiKo / TeSiKo<br />
Im SysSiKo werden die Maßnahmen aus den FuSiKos technisch konkretisiert und es wird<br />
auf Fehlermodi der realen, projektspezifischen Implementierung Bezug genommen (etwa<br />
Botschaftsverfälschungen durch ein CAN-Gateway eines spezifischen Fahrzeugs, das in der<br />
funktionalen Betrachtung noch gar nicht existierte). Die Anforderungen werden zudem an<br />
Komponenten adressiert (z.B. „Das ESC-Steuergerät muss bei Eintreffen einer gültigen<br />
Notbremsungs-Signalisierung innerhalb von 200 ms das unter Einhaltung der<br />
Fahrzeugstabilität maximal mögliche Bremsmoment aufbauen.“). Eine Traceability zu den<br />
verschiedenen beteiligten FuSiKos wird durch identifizierbare Verweise hergestellt oder, falls<br />
man das Sicherheitskonzept in Systemen wie DOORS pflegt, durch Links.<br />
Ebenfalls im SysSiKo findet die Allokierung von ASILs und Budgets im Sinne der Hardwareund<br />
Architekturmetriken statt, sowie die Budgetierung der Fehlerreaktionszeiten über die<br />
Wirkketten, die im Falle komplexer Assistenzsysteme über drei und mehr Steuergeräte auf<br />
verschiedenen Teilbussen verlaufen können und komplexe Modellierung erfordern. Der Blick<br />
des FuSi-Analysten ist hier besonders auf das richtige Zusammenwirken der Komponenten<br />
gerichtet, nicht nur auf ihre individuelle Fehlerfreiheit – und eine enge Kooperation mit dem<br />
Systemarchitekten ist essentiell.<br />
Im SysSiKo wechselt auch die Kapitel-Strukturierung von der sicherheitsziel-orientierten<br />
Sicht auf die komponentenorientierte Sicht. Alle Aspekte bspw. der Umfelderfassung werden<br />
im selben Kapitel betrachtet, gleich von welchen Sicherheitszielen sie sich herleiten.<br />
Entsprechend findet hier auch eine Maximum-Bildung über den ASIL statt: jede Funktion<br />
einer Komponente erbt den höchsten ASIL aller Sicherheitsanforderungen, die sie betreffen.<br />
Da viele Maßnahmen im SysSiKo (etwa End-to-End-Absicherung der Kommunikation) gegen<br />
diverse Fehlermodi verschiedener Komponenten wirken, empfiehlt sich die von uns bereits
früher vorgeschlagene Matrixmethode [4], um einerseits die Vollständigkeit der Maßnahmen<br />
zu garantieren, andererseits aber Over-Engineering zu vermeiden (siehe Bild 5).<br />
zFAS<br />
ESC-SG<br />
Fehler-Modi<br />
Sensor Eval<br />
CAN<br />
FuSi-Maßnahme<br />
Cross- Plausibilisierung<br />
durch Sensorfusion<br />
ASIL- Konforme SW-<br />
Entwicklung<br />
CAN- Absicherung durch<br />
CRC<br />
Ignorieren von<br />
Bremsanforderung bei v<br />
> v-max<br />
Fehlerhafte Bremsanforderung wg<br />
Phantom- Objekt □ ■<br />
Fehlerhafte Bremsanforderung wg<br />
SW- Fehler □ ■<br />
Fehlerhafte Bremsanforderung wg<br />
Botschafts- Verfälschung ■ ■<br />
Bild 5: Matrix zur Allokation von Sicherheitsmaßnahmen zu Fehlermodi<br />
Im SysSiKo werden technische Entwurfsentscheidungen (etwa die Verwendung eines zFAS<br />
mit einheitlichen Schnittstellen zwischen Funktionen und Sensordaten/Aktuatorik) gegen<br />
daraus resultierende Herausforderungen der FuSi abgewogen und bewertet: So sind für<br />
Einzelpunktfehler anfällige Einkanaligkeiten evtl. durch Redundanzen oder<br />
Rückfallebenenlösungen zu ergänzen, so dass trotz der schlanken einkanaligen<br />
Funktionsarchitektur unter Umständen auf technischer Ebene wieder zusätzliche<br />
sicherheitsbedingte By-Pass-Lösungen generiert werden müssen. Die Bedeutung des<br />
SysSiKo ist also analog zur Bedeutung der Systemarchitektur in der funktionalen<br />
Entwicklung erheblich gewachsen.<br />
4.5. Komponentenweise Umsetzung beim Lieferanten<br />
Sind die Sicherheitsanforderungen aus dem SysSiKo den Komponenten zugeordnet, auf die<br />
Lastenhefte der Komponenten verteilt und den Lieferanten übergeben, unterscheidet sich<br />
das weitere Vorgehen nicht mehr wesentlich von der klassischen Entwicklung. Für die<br />
Komponente ist ein technisches Sicherheitskonzept (TeSiKo) zu erstellen. Dieses greift die<br />
Sicherheitsanforderungen aus dem SysSiKo des OEMs auf und verfeinert sie zu konkreten<br />
Lösungen, ergänzt um weitere Sicherheitsmaßnahmen auf Grund der Komponenten-FMEA.<br />
Hierzu zählen bspw. Abschaltpfadtests, Spannungs- und Temperaturüberwachungen oder
Prozessor-Absicherungsmaßnahmen. Die Lösungen aus dem Sicherheitskonzept sind<br />
konform zu den Regeln der ISO 26262 entsprechend ihrem ASIL umzusetzen und die<br />
Nachweise dazu an den Komponentenverantwortlichen beim OEM zu liefern. Die Einhaltung<br />
der im SysSiKo des OEMs festgesetzten Zuverlässigkeits- und Metrik-Budgets sowie die<br />
zeitlichen Anforderungen bzgl. Fehlerdetektions- und Fehlerreaktionszeiten sind<br />
nachzuweisen.<br />
4.6. Integration und Sicherheitsnachweis<br />
Im klassichen V-Modell verlaufen Komponenten-Integration und zugehörige Tests im rechten<br />
V-Ast in spiegelbildlicher Reihenfolge wie die Dekomposition in Komponenten, die im linken<br />
V-Ast stattfand. Dies gilt im funktionsorientierten Kontext weiterhin. Zu beachten ist jedoch,<br />
dass die im linken Ast formulierten funktionalen Sicherheitsanforderungen abstrakt und nicht<br />
unbedingt direkt testbar sind (ein häufig gehörter Kritikpunkt), da man bewusst auf die<br />
Benennung konkreter Signale, Schnittstellen und selbst Sicherheitsmaßnahmen verzichtet<br />
hat, um die Skalierbarkeit der Funktion nicht zu behindern.<br />
Zur Lösung dieses Problems bedient man sich für die Verifikation der funktionalen<br />
Sicherheitsanforderungen einer Kombination aus Funktionstest der funktionalen<br />
Sicherheitsanforderungen (bei dem sich die für den Test nötigen konkreten technischen<br />
Schnittstellen aus der Verlinkung zwischen Funktionsanforderung und Systemdesign im<br />
linken V-Ast ermitteln lassen) und einer strukturierten Argumentation im Sicherheitsnachweis<br />
(z.B. nach Kelly [4]), die nachvollziehbar die Erfüllung der abstrakten funktionalen<br />
Sicherheitsanforderungen belegt unter Bezugnahme auf die lückenlose Ableitung und die<br />
erfolgreichen Tests der konkreten technischen Realisierung.<br />
5. Varianten, Änderungen und Wiederverwendung<br />
Ihre eigentliche Stärke spielt die funktionsorientierte Entwicklungsmethodik aus, wenn es zu<br />
Variantenbildung, Änderungen an einem bestehenden Produkt und zu Wiederverwendung<br />
von Funktionen oder aber technischen Lösungen im Rahmen neuer Funktionskomplexe<br />
kommt. Durch die Modularisierung und die Abstraktion der Funktion von der<br />
fahrzeugspezifischen Umsetzung müssen nur die Artefakte im Entwicklungsprozess<br />
angepasst werden, die von der Änderung betroffen sind (und natürlich müssen im rechten V-<br />
Ast alle Integrations- und Testschritte wiederholt werden). Diese Aussage gilt für Artefakte<br />
der normalen Entwicklung ebenso wie für die Arbeitsprodukte der FuSi-Aktivitäten: Wird z.B.<br />
nur ein Steuergerät durch ein Modell eines anderen Zulieferers ersetzt, so gelten FuSiKo und<br />
SysSiKo weiterhin; nur das TeSiKo der Komponente ist neu zu erstellen sowie die
komponentenbezogenen Analysen wie Design-FMEA. Selbst die nötig werdenden<br />
Anpassungen bei Änderungen an der Funktion oder bei einer geänderten Realisierung in<br />
einem anderen Fahrzeugprojekt vereinfachen sich durch die modularere Struktur aller FuSi-<br />
Arbeitsprodukte. Entscheidend für die Wiederverwendung ist jedoch, dass schon in den<br />
frühen Phasen (Item Definition, G&R, FuSiKo) der Empfehlung befolgt wird, alle Annahmen<br />
explizit (z.B. in einer separaten Tabelle mit eindeutigen IDs) festzuhalten. So kann bei jeder<br />
Veränderung oder Übernahme geprüft werden, ob alle Annahmen noch gelten und, falls<br />
nicht, welche Teile der Konzepte von den Änderungen betroffen sind.<br />
6. Fazit<br />
Der vorliegende Beitrag stellte einen neuen und in weiten Teilen bereits praktisch erprobten<br />
Ansatz vor, wie sich die FuSi-Aktivitäten gem. ISO 26262 in den funktionsorientierten<br />
Entwicklungsprozess in der Automobilindustrie integrieren lassen. Die Veränderungen, die<br />
sich unter diesen Vorzeichen für alle wesentlichen FuSi-Aktivitäten ergeben, wurden mit<br />
Bezugnahme auf neue Assistenzfunktionen im Bereich des teil- und hochautomatisierten<br />
Fahrens diskutiert. Der Hauptvorteil der Adaption der Sicherheitsaktivitäten an die<br />
funktionsorientierte Entwicklung liegt in der Beherrschung der hohen Komplexität heutiger<br />
steuergeräteübergreifender Funktionen und der Maximierung der Synergieeffekte durch<br />
Übernahmepotential von FuSi-Arbeitsprodukten in veränderten Projektkontexten. Mehrere<br />
Projekte im Bereich der Fahrerassistenzsysteme und des automatisierten Fahrens im<br />
Kontext der Unternehmen Volkswagen und Audi haben gezeigt, dass sich tatsächlich<br />
erhebliche Aufwandsreduktionen erzielen ließen und sich die Beherrschung der Komplexität<br />
solcher Systeme im Bereich der FuSi vereinfachte. Außer im Fahrerassistenzbereich eignet<br />
sich die Methode auch für andere komponentenübergreifende Funktionen, etwa in der<br />
Hybridantriebstechnik, wo sowohl Antreiben als auch Bremsen durch komplexe Kooperation<br />
mehrerer Komponenten realisiert werden.<br />
[1] Dietrich, B. und Kuther, T.: Funktionsorientierte Entwicklung schafft Transparenz und<br />
stellt perfektes Zusammenspiel aller Komponenten sicher. Elektronik Praxis Feb 2009<br />
[2] ISO 26262 Road Vehicles – Functional Safety . International Standard<br />
[3] Kaiser, B.: Approaches Towards Reusable Safety Concepts”. 2 nd VDA Automotive SYS<br />
Conference, Berlin, 15./16.05.2012<br />
[4] Kelly, T. und Weaver, R.: The Goal Structuring Notation – A Safety Argument Notation.<br />
Proc. of Dependable Systems and Networks 2004 Workshop on Assurance Cases,<br />
2004