Paper (pdf) - Berner & Mattner

Weitere Magazine

Empfehlungen

Info

In der funktionsorientierten Entwicklung bietet es sich nun an, funktionales und technisches Sicherheitskonzept stärker zu trennen und ihnen klare Aufgaben zuzuweisen: das FuSiKo, das weiterhin nach Sicherheitszielen strukturiert wird, wird einmal pro Fahrzeugfunktion erstellt. Es bricht die Sicherheitsziele herunter auf Sicherheits-Features (z.B. Integrität der Abstandserfassung zu einem Hindernis), die durch funktionale (technologieunabhängige) Anforderungen ausdefiniert werden, z.B. „Es ist sicherzustellen, dass alle Fehler, die zur Nichtentdeckung oder zur verspäteten Entdeckung von Hindernissen führen können, sicher entdeckt und übermittelt werden und zur geordneten Beendigung der Funktion führen.“ Solche Anforderungen beziehen sich nicht auf eine spezifische Sensortechnologie und nennen auch keine konkreten technischen Maßnahmen wie Plausibilisierungen. Die Anforderungen sind bewusst abstrakt formuliert (z.B. „Jegliche … sind zu verhindern.“), damit sie sich leicht in die technologieunabhängige funktionale Anforderungsspezifikation integrieren lassen und unverändert weiter gelten, wenn dieselbe Funktion in einem späteren Fahrzeugprojekt mit anderen technischen Mitteln realisiert wird. Die Betrachtungen im FuSiKo basieren auf dem Funktionsblockmodell, das aus der Funktionsspezifikation übernommen wird. Hieran werden die Auswirkungen möglicher Fehler untersucht und funktionale Maßnahmen dagegen definiert. Die Sicherheitsanforderungen werden vorhandenen Funktionsblöcken (z.B. Sensordatenfusion, Bewegungsmanager) zugeordnet, wobei es zusätzlich nötig werden kann, neue Funktionsblöcke speziell für die Erfüllung der Sicherheitsanforderungen hinzuzufügen: Entsprechend der freiraumorientierten Hazard-Definition aus der G&R, liegt z.B. es bei teil- und hochautomatisiertem Fahren nahe, einen neuen Funktionsblock vorzusehen, der sich drohenden Kollisionen zwischen Ego- Fahrzeug und Umgebung widmet. Dieser „Kollisionswächter“ ist somit der „ASIL-Träger“ der Funktion, während viele weitere Teile der Funktion anschließend ohne (bzw. mit geringeren) Sicherheitsanforderungen auskommen. 4.4. Systemsicherheitskonzept (SysSiKo) Das SysSiKo ist das FuSi-seitige Gegenstück zur Systemarchitektur, denn wie diese allokiert es die abstrakten Sicherheitsfunktionen auf konkrete technische Komponenten. Hier laufen die Anforderungen aus den FuSiKos aller Funktionen zusammen (siehe Bild 4). Das SysSiKo wird entsprechend vom OEM erstellt und kann interpretiert werden als komponentenübergreifender Teil des technischen Sicherheitskonzept gem. ISO 26262 (der detailliertere Teil des technischen Sicherheitskonzepts, der sich bspw. mit der Absicherung von Mikroprozessoren befasst, wird weiterhin vom Zulieferer erstellt).
Bild 4: Zusammenhang FuSiKo / SysSiKo / TeSiKo Im SysSiKo werden die Maßnahmen aus den FuSiKos technisch konkretisiert und es wird auf Fehlermodi der realen, projektspezifischen Implementierung Bezug genommen (etwa Botschaftsverfälschungen durch ein CAN-Gateway eines spezifischen Fahrzeugs, das in der funktionalen Betrachtung noch gar nicht existierte). Die Anforderungen werden zudem an Komponenten adressiert (z.B. „Das ESC-Steuergerät muss bei Eintreffen einer gültigen Notbremsungs-Signalisierung innerhalb von 200 ms das unter Einhaltung der Fahrzeugstabilität maximal mögliche Bremsmoment aufbauen.“). Eine Traceability zu den verschiedenen beteiligten FuSiKos wird durch identifizierbare Verweise hergestellt oder, falls man das Sicherheitskonzept in Systemen wie DOORS pflegt, durch Links. Ebenfalls im SysSiKo findet die Allokierung von ASILs und Budgets im Sinne der Hardwareund Architekturmetriken statt, sowie die Budgetierung der Fehlerreaktionszeiten über die Wirkketten, die im Falle komplexer Assistenzsysteme über drei und mehr Steuergeräte auf verschiedenen Teilbussen verlaufen können und komplexe Modellierung erfordern. Der Blick des FuSi-Analysten ist hier besonders auf das richtige Zusammenwirken der Komponenten gerichtet, nicht nur auf ihre individuelle Fehlerfreiheit – und eine enge Kooperation mit dem Systemarchitekten ist essentiell. Im SysSiKo wechselt auch die Kapitel-Strukturierung von der sicherheitsziel-orientierten Sicht auf die komponentenorientierte Sicht. Alle Aspekte bspw. der Umfelderfassung werden im selben Kapitel betrachtet, gleich von welchen Sicherheitszielen sie sich herleiten. Entsprechend findet hier auch eine Maximum-Bildung über den ASIL statt: jede Funktion einer Komponente erbt den höchsten ASIL aller Sicherheitsanforderungen, die sie betreffen. Da viele Maßnahmen im SysSiKo (etwa End-to-End-Absicherung der Kommunikation) gegen diverse Fehlermodi verschiedener Komponenten wirken, empfiehlt sich die von uns bereits
Seite 1 und 2: Von der Komponenten- zur Funktionso
Seite 3 und 4: Power Steering EPS ECU M Lane Assis
Seite 5 und 6: Architektur-Ebene im linken V-Ast -
Seite 7: dieser verursacht wird durch einen
Seite 11 und 12: Prozessor-Absicherungsmaßnahmen. D

Paper (pdf) - Berner & Mattner

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?