Paper (pdf) - Berner & Mattner

Weitere Magazine

Empfehlungen

Info

Mehrkanaligkeit und Schutz vor gemeinsamen Fehlern deutlich stärker als bisher berücksichtigen. 4. Integration der FuSi-Aktivitäten in die Funktionsorientierte Entwicklung In der Praxis hat sich als vorteilhaft herausgestellt, den funktionsorientierten Prozess als Vorlage zu nehmen und die FuSi-Aktivitäten darauf abzubilden. Wie sich auch beim funktionsorientierten Entwicklungsansatz Vorteile bzgl. Portabilität (bzgl. Fahrzeugprojekte) und Skalierbarkeit (bzgl. Fzg.architekturen, bspw. neuer Bustopologien) ergeben, führen die so entstehenden Synergien auch in der FuSi zu Verbesserungen bezogen auf Systematik und Effizienz. Die folgenden Erkenntnisse wurden aus Praxisprojekten gewonnen, bei denen die Vorgaben der ISO 26262 auf funktionsorientierte Entwicklungsvorhaben interpretiert wurden. Es werden die jeweiligen Besonderheiten der Hauptaktivitäten der ISO 26262 vorgestellt. 4.1. Item Definition Bereits bei der Item Definition ist einiges zu beachten, denn dieses bildet die Grundlage für die Gefährdungsanalyse und Risikobewertung (G&R) und grenzt den Arbeitsumfang des gesamten nachfolgenden Sicherheitsprozesses ab. Die ISO 26262 verortet Hazards auf Fahrzeugebene – und dort sind es primär die Aktuatoren, die Unfallszenarien auslösen. Auch wenn althergebrachte Aktuatoren wie Lenkung und Bremse nicht zur Assistenzfunktion im engeren Sinne gerechnet werden, sind sie Teil der Funktion und damit des Items. Es bietet es sich an, für die G&R die Aktuatorik in den Scope mit einzubeziehen (und dabei von vorhandenen G&Rs aus dem Fahrwerksbereich zu profitieren), im späteren System- Sicherheitskonzept jedoch nur den reduzierten Scope des Funktionskernumfangs technisch auszudefinieren. Somit unterscheidet die Item Definition also künftig mehrere „Scopes“ (man denke an verschiedenfarbige Umrahmungen von Teilkomplexen) und es ist auf diese Weise auch möglich, eine gemeinsame Item Definition für mehrere eng verwandte Funktionen (so genannte Funktionskomplexe) auf einmal zu erstellen und diese durch Scopes abzugrenzen, was Aufwand reduziert und Inkonsistenzen verhindert. 4.2. Gefährdungsanalyse und Risikobewertung (G&R) Werden die o.g. Ratschläge bezüglich der Item Definition beherzigt, so wird auch die G&R durch den neuen funktionsorientierten Ansatz vereinfacht und vereinheitlicht. So ist es etwa bei der Gefährdung „Fehllenker bei Autobahnfahrt“ auf Fahrzeugebene gleichgültig, ob
dieser verursacht wird durch einen fehlerhaften Steuerbefehl eines Parkassistenten oder durch einen internen Hardwarefehler des Lenkungssteuergeräts. In der bisherigen komponentenorientierten Sicht hatten Analysten „innenliegender“ Komponenten oft die Schwierigkeit, bewertbare Gefährdungen auf Fahrzeugebene zu analysieren, da solche Steuergeräte keinen unmittelbaren Zugriff auf Aktuatoren, sondern meist nur Bus-Schnittstellen zu den Aktuator-Steuergeräten haben. In der funktionsorientierten Sicht legen nun die Experten aller beteiligten Disziplinen (Sensorik, Verarbeitung, Aktuatorik, Fahrerinterface) unter Leitung des Funktionsverantwortlichen die gesamte Wirkkette der Funktion aus und analysieren diese auch bezüglich FuSi. Dadurch steht bei der G&R eine höhere Expertise zur Verfügung und es tritt eine Verbesserung der Konsistenz und eine Effizienzsteigerung durch Wiederverwendung ein. Beim Übergang zum automatisierten Fahren scheint es zudem sinnvoll, die Gefährdungen bei einer aktivierten automatisierten Funktion nicht mehr aktuatororientiert, sondern vielmehr freiraum- bzw. trajektorienorientiert zu betrachten. Im automatisierten Modus ist bspw. der Begriff „Selbstlenker“ für einen Hazard an sich schon fragwürdig, aber selbst der Term „Fehllenker“ wäre nicht ohne Bezug zur Längsdynamik und zur Umgebungssituation zu definieren. Somit erscheint die Suche nach Hazards alleine des Aktuators „Lenkung“ nicht mehr zielführend – ein Hazard tritt nämlich erst dann auf, wenn durch das Zusammenspiel von Antrieb, Lenkung und Bremse der tatsächliche Freiraum um das Fahrzeug verletzt wird und Kollisionen entstehen können. Somit erhält man auch bereits in der G&R einen Übergang von einer komponentenorientierten zu einer funktionsorientierten Denkweise. 4.3. Funktionales Sicherheitskonzept (FuSiKo) In der Vergangenheit gingen funktionales und technisches Sicherheitskonzept oft fließend ineinander über – das FuSiKo als grobere Vorstufe des technischen Konzepts – und waren folglich in gleicher Weise, meist nach Sicherheitszielen, strukturiert. Dies sorgt zwar auf den oberen Gliederungsebenen für gute Übersicht, zwingt aber bei weiterem Vordringen in die technischen Details zu häufigen Wiederholungen oder Querverweisen, weil Komponentenfehler mehrere Gefährdungen verursachen können, weil technische Maßnahmen mehreren Sicherheitszielen auf einmal dienen können und vor allem, weil Sicherheitsmaßnahmen an anderer Stelle allokiert sein können als dem Entstehungsort der zugeordneten Fehler. Somit ist diese klassische Strukturierung bei verteilten Systemen mit hoher Funktionsüberschneidung weder der Verständlichkeit förderlich, noch der wünschenswerten definierten Wiederverwendung von Teilen des Sicherheitskonzepts.
Seite 1 und 2: Von der Komponenten- zur Funktionso
Seite 3 und 4: Power Steering EPS ECU M Lane Assis
Seite 5: Architektur-Ebene im linken V-Ast -
Seite 9 und 10: Bild 4: Zusammenhang FuSiKo / SysSi
Seite 11 und 12: Prozessor-Absicherungsmaßnahmen. D

Paper (pdf) - Berner & Mattner

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?