Paper (pdf) - Berner & Mattner
Paper (pdf) - Berner & Mattner
Paper (pdf) - Berner & Mattner
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
In der funktionsorientierten Entwicklung bietet es sich nun an, funktionales und technisches<br />
Sicherheitskonzept stärker zu trennen und ihnen klare Aufgaben zuzuweisen: das FuSiKo,<br />
das weiterhin nach Sicherheitszielen strukturiert wird, wird einmal pro Fahrzeugfunktion<br />
erstellt. Es bricht die Sicherheitsziele herunter auf Sicherheits-Features (z.B. Integrität der<br />
Abstandserfassung zu einem Hindernis), die durch funktionale (technologieunabhängige)<br />
Anforderungen ausdefiniert werden, z.B. „Es ist sicherzustellen, dass alle Fehler, die zur<br />
Nichtentdeckung oder zur verspäteten Entdeckung von Hindernissen führen können, sicher<br />
entdeckt und übermittelt werden und zur geordneten Beendigung der Funktion führen.“<br />
Solche Anforderungen beziehen sich nicht auf eine spezifische Sensortechnologie und<br />
nennen auch keine konkreten technischen Maßnahmen wie Plausibilisierungen. Die<br />
Anforderungen sind bewusst abstrakt formuliert (z.B. „Jegliche … sind zu verhindern.“),<br />
damit sie sich leicht in die technologieunabhängige funktionale Anforderungsspezifikation<br />
integrieren lassen und unverändert weiter gelten, wenn dieselbe Funktion in einem späteren<br />
Fahrzeugprojekt mit anderen technischen Mitteln realisiert wird.<br />
Die Betrachtungen im FuSiKo basieren auf dem Funktionsblockmodell, das aus der<br />
Funktionsspezifikation übernommen wird. Hieran werden die Auswirkungen möglicher Fehler<br />
untersucht und funktionale Maßnahmen dagegen definiert. Die Sicherheitsanforderungen<br />
werden vorhandenen Funktionsblöcken (z.B. Sensordatenfusion, Bewegungsmanager)<br />
zugeordnet, wobei es zusätzlich nötig werden kann, neue Funktionsblöcke speziell für die<br />
Erfüllung der Sicherheitsanforderungen hinzuzufügen: Entsprechend der freiraumorientierten<br />
Hazard-Definition aus der G&R, liegt z.B. es bei teil- und hochautomatisiertem Fahren nahe,<br />
einen neuen Funktionsblock vorzusehen, der sich drohenden Kollisionen zwischen Ego-<br />
Fahrzeug und Umgebung widmet. Dieser „Kollisionswächter“ ist somit der „ASIL-Träger“ der<br />
Funktion, während viele weitere Teile der Funktion anschließend ohne (bzw. mit geringeren)<br />
Sicherheitsanforderungen auskommen.<br />
4.4. Systemsicherheitskonzept (SysSiKo)<br />
Das SysSiKo ist das FuSi-seitige Gegenstück zur Systemarchitektur, denn wie diese allokiert<br />
es die abstrakten Sicherheitsfunktionen auf konkrete technische Komponenten. Hier laufen<br />
die Anforderungen aus den FuSiKos aller Funktionen zusammen (siehe Bild 4). Das SysSiKo<br />
wird entsprechend vom OEM erstellt und kann interpretiert werden als komponentenübergreifender<br />
Teil des technischen Sicherheitskonzept gem. ISO 26262 (der detailliertere<br />
Teil des technischen Sicherheitskonzepts, der sich bspw. mit der Absicherung von<br />
Mikroprozessoren befasst, wird weiterhin vom Zulieferer erstellt).