Das Auftreten einer bestimmten Gefahr in einer bestimmten Betriebssituation wird nun als gefährliches Ereignis bezeichnet. So wäre z.B. der Ausfall des Lichts beim Fahren in Dunkelheit auf einer kurvigen Landstraße ein gefährliches Ereignis. Im dritten Schritt werden nun diese gefährlichen Ereignisse einzeln anhand von drei Kriterien bewertet. Diese sind

  • die Schwere der Verletzung,
  • die Häufigkeit der Betriebssituation und
  • die Beherrschbarkeit der Situation zur Abwendung der Verletzungen.

Die Schwere der Verletzung (severity) wird in vier Stufen S0 bis S3 eingeschätzt.

Bild   Vier Klassen zur Einstufung der Schwere von Verletzungen

In der ISO 26262 können Sie nachlesen, wie die Stufen präzise über die sogenannte Abbreviated Injury Scale, AIS, classification definiert sind. ISO 26262 enthält außerdem Beispiele für Unfälle und deren eventueller Schwere von Verletzungen.

Für die Exposure sind fünf Stufen E0 bis E4 definiert. Außerdem gibt es zwei Varianten für die Einstufung.

Bild   Fünf Klassen zur Einstufung der Exposure

Eine Einstufung nach der Häufigkeit, in der man sich in der Betriebssituation (operational situation) befindet, bietet sich für Fehler an, die in bestimmten Situationen spürbar werden. Zum Beispiel das Versagen des Airbags bei einem Zusammenstoß. In der normalen Fahrt würde man nämlich nicht merken, dass der Airbag nicht mehr auslöst.

Eine Einstufung nach der Dauer (duration) bietet sich immer dann an, wenn ein Fehler sofort seine Auswirkung entfalten würde. Zum Beispiel der Lichtausfall bei Nachfahrt. In diesem Fall würden Sie abschätzen, wieviel Prozent der Fahrzeugbetriebszeit typischerweise bei Nacht gefahren wird. Oft ist die angenommene Betriebszeit 400 Stunden pro Jahr für einen PKW. Aber das müssen Sie im Einzelfall für das Fahrzeug einschätzen. Sollte es sich beim Element, welches ausfallen kann, um ein Steuergerät handeln, welches permanent aktiv ist, so wäre nicht die Fahrzeugbetriebszeit, sondern die gesamte Zeit als Basis für die Einschätzung des Prozentsatzes heranzuziehen. Wichtig ist bei der Exposure verstanden zu haben, dass es hier nicht um die Abschätzung der Häufigkeit geht, mit der ein Fehler auftreten kann. Es geht darum abzuschätzen, wie wahrscheinlich man in der Situation ist, in der ein Fehler seine Auswirkungen entfalten kann.

Bei der Beherrschbarkeit (controllability) geht es darum einzuschätzen, in wieweit im Falle einer Fehlfunktion die gefährdeten Personen den Gesundheitsschaden durch eine rechtzeitige Reaktion noch vermeiden können. Die Einstufung erfolgt nach ISO 26262 in eine von vier Stufen C0 bis C3. Beachten Sie, dass es meist, aber nicht immer der Fahrer ist, der hier gemeint ist zu reagieren. Es kann zum Beispiel auch ein Fußgänger sein, der zur Seite springen kann und somit die Kollision mit dem Fahrzeug vermeiden kann. Wenn wir die Definition der Beherrschbarkeit ansehen, dann ist dort die Rede von den Fähigkeiten durchschnittlicher Fahrer. Konkret bedeutet dies für Sie, dass Sie diesen Fahrer tatsächlich festlegen müssen, damit Sie seine Fähigkeiten einschätzen können.

Bild   Vier Klassen zur Einstufung der Beherrschbarkeit

Ich kann in diesem Whitepaper nicht alle Einzelheiten zu den drei Kriterien Severity, Exposure und Controllability darstellen. In der ISO 26262 finden Sie im Teil 3 sowohl die präzisen Definitionen, als auch noch eine Reihe von Beispielen und Hinweisen. Darüber hinaus gibt es auch für Lastwagen und Busse spezielle Hinweise zur Exposure im Anhang von Teil 3. Und für Motorräder sind alle drei Kriterien ganz anders zu interpretieren, weshalb der Teil 12 dafür spezielle Beispiele bereithält.

Sie mögen sich nun die Frage stellen, ob es nicht eine Standardeinschätzung der drei Kriterien gibt, so dass die Arbeit für alle effizienter wird. In der Tat kursieren solche Dokumente, wie zum Beispiel VDA 702 für die Exposure. Immer sind solche Dokumente aber nur Beispiele und nie verbindlich. Das hat den einfachen Grund, dass nämlich die Verantwortung für die Einschätzung im Einzelfall beim Fahrzeughersteller bleibt und nicht auf jemand anderes abgewälzt werden kann.

Genauso wenig gibt für einzelne Items verbindliche Listen von gefährlichen Ereignissen (hazardous events), obwohl natürlich Fahrzeughersteller und Zulieferer längst solche Listen erarbeitet haben. Wenn Sie eine HARA zum ersten Mal durchführen, werden Sie feststellen, dass Sie sich iterativ an eine sinnvolle Menge gefährlicher Ereignisse herantasten müssen. Als Faustregel können Sie sich merken, dass Sie mehrere gefährliche Ereignisse zusammenfassen können, wenn Sie zu gleichen Einschätzungen der drei Kriterien kommen.
 

Das Auftreten einer bestimmten Gefahr in einer bestimmten Betriebssituation wird nun als gefährliches Ereignis bezeichnet. So wäre z.B. der Ausfall des Lichts beim Fahren in Dunkelheit auf einer kurvigen Landstraße ein gefährliches Ereignis. Im dritten Schritt werden nun diese gefährlichen Ereignisse einzeln anhand von drei Kriterien bewertet. Diese sind

Die Schwere der Verletzung (severity) wird in vier Stufen S0 bis S3 eingeschätzt.

Bild   Vier Klassen zur Einstufung der Schwere von Verletzungen

In der ISO 26262 können Sie nachlesen, wie die Stufen präzise über die sogenannte Abbreviated Injury Scale, AIS, classification definiert sind. ISO 26262 enthält außerdem Beispiele für Unfälle und deren eventueller Schwere von Verletzungen.

Für die Exposure sind fünf Stufen E0 bis E4 definiert. Außerdem gibt es zwei Varianten für die Einstufung.

Bild   Fünf Klassen zur Einstufung der Exposure

Eine Einstufung nach der Häufigkeit, in der man sich in der Betriebssituation (operational situation) befindet, bietet sich für Fehler an, die in bestimmten Situationen spürbar werden. Zum Beispiel das Versagen des Airbags bei einem Zusammenstoß. In der normalen Fahrt würde man nämlich nicht merken, dass der Airbag nicht mehr auslöst.

Eine Einstufung nach der Dauer (duration) bietet sich immer dann an, wenn ein Fehler sofort seine Auswirkung entfalten würde. Zum Beispiel der Lichtausfall bei Nachfahrt. In diesem Fall würden Sie abschätzen, wieviel Prozent der Fahrzeugbetriebszeit typischerweise bei Nacht gefahren wird. Oft ist die angenommene Betriebszeit 400 Stunden pro Jahr für einen PKW. Aber das müssen Sie im Einzelfall für das Fahrzeug einschätzen. Sollte es sich beim Element, welches ausfallen kann, um ein Steuergerät handeln, welches permanent aktiv ist, so wäre nicht die Fahrzeugbetriebszeit, sondern die gesamte Zeit als Basis für die Einschätzung des Prozentsatzes heranzuziehen. Wichtig ist bei der Exposure verstanden zu haben, dass es hier nicht um die Abschätzung der Häufigkeit geht, mit der ein Fehler auftreten kann. Es geht darum abzuschätzen, wie wahrscheinlich man in der Situation ist, in der ein Fehler seine Auswirkungen entfalten kann.

Bei der Beherrschbarkeit (controllability) geht es darum einzuschätzen, in wieweit im Falle einer Fehlfunktion die gefährdeten Personen den Gesundheitsschaden durch eine rechtzeitige Reaktion noch vermeiden können. Die Einstufung erfolgt nach ISO 26262 in eine von vier Stufen C0 bis C3. Beachten Sie, dass es meist, aber nicht immer der Fahrer ist, der hier gemeint ist zu reagieren. Es kann zum Beispiel auch ein Fußgänger sein, der zur Seite springen kann und somit die Kollision mit dem Fahrzeug vermeiden kann. Wenn wir die Definition der Beherrschbarkeit ansehen, dann ist dort die Rede von den Fähigkeiten durchschnittlicher Fahrer. Konkret bedeutet dies für Sie, dass Sie diesen Fahrer tatsächlich festlegen müssen, damit Sie seine Fähigkeiten einschätzen können.

Bild   Vier Klassen zur Einstufung der Beherrschbarkeit

Ich kann in diesem Whitepaper nicht alle Einzelheiten zu den drei Kriterien Severity, Exposure und Controllability darstellen. In der ISO 26262 finden Sie im Teil 3 sowohl die präzisen Definitionen, als auch noch eine Reihe von Beispielen und Hinweisen. Darüber hinaus gibt es auch für Lastwagen und Busse spezielle Hinweise zur Exposure im Anhang von Teil 3. Und für Motorräder sind alle drei Kriterien ganz anders zu interpretieren, weshalb der Teil 12 dafür spezielle Beispiele bereithält.

Sie mögen sich nun die Frage stellen, ob es nicht eine Standardeinschätzung der drei Kriterien gibt, so dass die Arbeit für alle effizienter wird. In der Tat kursieren solche Dokumente, wie zum Beispiel VDA 702 für die Exposure. Immer sind solche Dokumente aber nur Beispiele und nie verbindlich. Das hat den einfachen Grund, dass nämlich die Verantwortung für die Einschätzung im Einzelfall beim Fahrzeughersteller bleibt und nicht auf jemand anderes abgewälzt werden kann.

Genauso wenig gibt für einzelne Items verbindliche Listen von gefährlichen Ereignissen (hazardous events), obwohl natürlich Fahrzeughersteller und Zulieferer längst solche Listen erarbeitet haben. Wenn Sie eine HARA zum ersten Mal durchführen, werden Sie feststellen, dass Sie sich iterativ an eine sinnvolle Menge gefährlicher Ereignisse herantasten müssen. Als Faustregel können Sie sich merken, dass Sie mehrere gefährliche Ereignisse zusammenfassen können, wenn Sie zu gleichen Einschätzungen der drei Kriterien kommen.
 

Wir sind nun beim vierten Schritt unserer HARA angekommen. In diesem Schritt bestimmen Sie für jedes gefährliche Ereignis den Automotive Safety Integrity Level, den ASIL. Das geht ganz einfach, indem Sie mit den drei abgeschätzten Werten von S, E und C in die folgende Tabelle schauen und schon haben Sie den ASIL. Im schlimmsten Fall haben Sie ein gefährliches Ereignis, welches zu tödlichen Verletzungen S3 führen kann, das Fahrzeug sich häufig E4 in einer Betriebssituation befindet, in der dies passieren kann, und die Verletzung von weniger als 90% der Personen C3 vermieden werden kann. Dieses Ereignis erhält einen ASIL D, was dazu führen wird, dass zur Vermeidung dieses Ereignisses die strengsten Maßstäbe der ISO 26262 angewendet werden müssen.

Bild   Bestimmung des Automotive Safety Integrity Level (ASIL)

Sie können in der Tabelle ein Prinzip erkennen: Immer wenn eines der drei Kriterien eine Stufe schwächer bewertet wird, dann führt dies zur Reduktion des ASILs um eine Stufe. Nehmen wir zum Beispiel an, dass mehr Personen die Verletzung noch durch eine entsprechende Reaktion vermeiden können, also C2 anstatt von C3, dann würde die gefährliche Situation nur ASIL C erhalten. Und so weiter. Die Einstufung QM in der Tabelle erlaubt Ihnen eine weitere Entwicklung des Items ohne die ISO 26262, rein nach den Maßstäben von Qualitätsmanagement im Automotive-Bereich.

Für eine Motorradentwicklung wenden Sie das gleiche Verfahren an, mit dem Unterschied, dass das Ergebnis ein Motorcycle Safety Integrity Level, MSIL, ist. Da die gesamte ISO 26262 aber in Abhängigkeit von einem ASIL spezifiziert was zu tun ist, wandeln Sie anschließend den MSIL mittels der rechts abgebildeten Tabelle in einen ASIL um. Und Sie sehen, dass dabei jeweils eine Reduktion um eine Stufe stattfindet. Motorräder werden also höchstens mit ASIL C entwickelt. Warum das denn, werden Sie sich fragen? Zumindest ein paar nachvollziehbare Hinweise gibt uns die ISO 26262. So tragen Motorradfahrer einen Helm, Sie fahren eher nicht mit hoher Geschwindigkeit auf unbefestigten Straßen und benötigen einen speziellen Führerschein. Und die Tatsache, dass sie überhaupt Motorrad fahren, mag bereits von der Bereitschaft zeugen, ein höheres Risiko einzugehen.

Bild   ASIL-Bestimmung für Motorräder über einen MSIL

Sie können in der Tabelle ein Prinzip erkennen: Immer wenn eines der drei Kriterien eine Stufe schwächer bewertet wird, dann führt dies zur Reduktion des ASILs um eine Stufe. Nehmen wir zum Beispiel an, dass mehr Personen die Verletzung noch durch eine entsprechende Reaktion vermeiden können, also C2 anstatt von C3, dann würde die gefährliche Situation nur ASIL C erhalten. Und so weiter. Die Einstufung QM in der Tabelle erlaubt Ihnen eine weitere Entwicklung des Items ohne die ISO 26262, rein nach den Maßstäben von Qualitätsmanagement im Automotive-Bereich.

Für eine Motorradentwicklung wenden Sie das gleiche Verfahren an, mit dem Unterschied, dass das Ergebnis ein Motorcycle Safety Integrity Level, MSIL, ist. Da die gesamte ISO 26262 aber in Abhängigkeit von einem ASIL spezifiziert was zu tun ist, wandeln Sie anschließend den MSIL mittels der rechts abgebildeten Tabelle in einen ASIL um. Und Sie sehen, dass dabei jeweils eine Reduktion um eine Stufe stattfindet. Motorräder werden also höchstens mit ASIL C entwickelt. Warum das denn, werden Sie sich fragen? Zumindest ein paar nachvollziehbare Hinweise gibt uns die ISO 26262. So tragen Motorradfahrer einen Helm, Sie fahren eher nicht mit hoher Geschwindigkeit auf unbefestigten Straßen und benötigen einen speziellen Führerschein. Und die Tatsache, dass sie überhaupt Motorrad fahren, mag bereits von der Bereitschaft zeugen, ein höheres Risiko einzugehen.

Wir sind nun beim vierten Schritt unserer HARA angekommen. In diesem Schritt bestimmen Sie für jedes gefährliche Ereignis den Automotive Safety Integrity Level, den ASIL. Das geht ganz einfach, indem Sie mit den drei abgeschätzten Werten von S, E und C in die folgende Tabelle schauen und schon haben Sie den ASIL. Im schlimmsten Fall haben Sie ein gefährliches Ereignis, welches zu tödlichen Verletzungen S3 führen kann, das Fahrzeug sich häufig E4 in einer Betriebssituation befindet, in der dies passieren kann, und die Verletzung von weniger als 90% der Personen C3 vermieden werden kann. Dieses Ereignis erhält einen ASIL D, was dazu führen wird, dass zur Vermeidung dieses Ereignisses die strengsten Maßstäbe der ISO 26262 angewendet werden müssen.

Bild   Bestimmung des Automotive Safety Integrity Level (ASIL)
Bild   ASIL-Bestimmung für Motorräder über einen MSIL

Der Begriff Gefährdungsanalyse und Risikobewertung (HARA) bezeichnet genau das in der ISO 26262 für den Automotive-Sektor definierte Verfahren. Er wird als HARA abgekürzt und ist wie folgt definiert:

“Method to identify and categorize hazardous events of items and to specify safety goals and ASILs related to the prevention or mitigation of the associated hazards in order to avoid unreasonable risk.”

Das ist eine recht komplizierte Definition. Da wird eine ganze Ansammlung von Spezialbegriffen verwendet. An all diesen Begriffen kommen wir im Folgenden noch vorbei. Beachten Sie, dass Sie im Automotive-Bereich immer genau diesen HARA-Begriff und diese Bezeichnung verwenden, weil damit genau das vorgeschriebene Verfahren bezeichnet wird. Würden Sie zum Beispiel den weit verbreiteten Begriff Gefahren- und Risikoanalyse (hazard and risk analysis) verwenden, dann würden andere Personen vermutlich darunter die in der IEC 61508 enthaltenen Anforderungen verstehen, die aber nicht Automotive-spezifisch sind.

Erst einmal eine Bemerkung zum Begriff Gefahr (hazard): Es geht hier ausschließlich um solche Gefahren, die zu Körperverletzungen und Gesundheitsschäden von Personen führen können (physical injury or damage to the health of persons). Reputationsschäden oder Kosten für Automobilbauer und Zulieferer spielen keine Rolle bei der Analyse.

Da ist die Rede vom Item, auf welches die HARA angewendet wird. Das bedeutet, dass eine solche HARA für Funktionen auf Fahrzeugebene und auf die Systeme, die diese Funktionen implementieren, angewendet wird. Beispiele: Lenken, Bremsen,  Abstandsregeltempomat, Fahrlichter. Da wir in einem Fahrzeug eine ganze Reihe solcher Items haben, müssen also ebenso viele HARAs durchgeführt werden. Sie ahnen schon, dass es erstens nicht einfach ist, die Items gegeneinander abzugrenzen und zweitens dahinter eine ganze Menge Arbeit steckt. Der Automobilbauer stellt die Items zusammen und weiß um deren Wechselwirkungen. Er ist daher für die Durchführung der HARA verantwortlich, nicht die Zulieferer.

In der Definition des Begriffs HARA ist auch die Rede von der Vermeidung unangemessener Risiken (avoid unreasonable risk). Unangemessene Risiken wiederum sind als Risiken zu interpretieren, die durch die Gesellschaft als moralisch inakzeptabel beurteilt werden. Damit wird es nun schwierig, da eine solche Beurteilung nicht objektiv vorliegen und als Maßstab herangezogen werden kann. Wie wir sehen werden, enthält die ISO 26262 zwar konkrete Kriterien, diese müssen aber bei der HARA dennoch durch den Automobilbauer kontextabhängig interpretiert werden. Das kann zu unterschiedlichen Ergebnissen der HARA führen, zum Beispiel abhängig vom Einsatzbereich des Fahrzeugs, von den designierten Vermarktungsländern oder von den Fähigkeiten durchschnittlicher Fahrer. Ein Stück weit berücksichtigt dies die ISO 26262 indem sie spezielle Interpretationstabellen für PKW, Lastwagen, Busse und Motorräder enthält. Letztendlich ist eine HARA trotz konkret vorgegebener Methode abhängig von den Personen, die sie durchführen. Um aber Fehlinterpretationen und Missbrauch vorzubeugen, verlangt die ISO einen Review der HARA und eine Bestätigung der HARA durch eine unabhängige Instanz.

Wie läuft nun eine solche Gefährdungsanalyse und Risikobewertung praktisch ab? Um das zu erläutern, unterteile ich die HARA in sieben logisch aufeinander aufbauende Schritte.
 

Beginnen können Sie mit dem ersten Schritt auf der Basis einer vorhandenen Item Definition. Im ersten Schritt ermitteln Sie relevante Betriebssituationen und Betriebsarten. Betriebssituationen wären zum Beispiel Fahren in der Stadt, auf der Landstraße oder auf der Autobahn. Betriebsarten wären zum Beispiel Vorwärtsfahrt, Rückwärtsfahrt oder auch ein in der Werkstatt aufgebocktes Fahrzeug mit laufendem Motor. Welche Unterteilung der Betriebssituationen und Betriebsarten sinnvoll ist, hängt sehr stark vom jeweiligen Item ab.

Der zweite Schritt besteht darin, sich die Gefahren für Leib und Leben vorzustellen. Sie sollen solche Gefahren aufschreiben, die entweder durch einen Fehler im Item entstehen oder aber durch vorhersehbare Fehlbedienung durch den Fahrer (reasonably foreseeable misuse). Ermittelt werden Gefahren auf Fahrzeugebene für Insassen und andere Verkehrsteilnehmer. Eine Gefahr eines Abstandsregeltempomaten ist zum Beispiel eine ungewollte Beschleunigung. Eine Gefahr des Fahrlichts ist es, wenn das Licht ungewollt ausgeht. Für die Betrachtung ist irrelevant, wie das Item selbst konstruiert ist. Wenn ein Fehler in einem Item aber zu einem Ausfall eines anderen Items führt, dann müssen Sie die dadurch entstehenden Gefahren betrachten.

Das Auftreten einer bestimmten Gefahr in einer bestimmten Betriebssituation wird nun als gefährliches Ereignis bezeichnet. So wäre z.B. der Ausfall des Lichts beim Fahren in Dunkelheit auf einer kurvigen Landstraße ein gefährliches Ereignis. Im dritten Schritt werden nun diese gefährlichen Ereignisse einzeln anhand von drei Kriterien bewertet. Diese sind

Die Schwere der Verletzung (severity) wird in vier Stufen S0 bis S3 eingeschätzt.

Wir sind nun beim vierten Schritt unserer HARA angekommen. In diesem Schritt bestimmen Sie für jedes gefährliche Ereignis den Automotive Safety Integrity Level, den ASIL. Das geht ganz einfach, indem Sie mit den drei abgeschätzten Werten von S, E und C in die folgende Tabelle schauen und schon haben Sie den ASIL. Im schlimmsten Fall haben Sie ein gefährliches Ereignis, welches zu tödlichen Verletzungen S3 führen kann, das Fahrzeug sich häufig E4 in einer Betriebssituation befindet, in der dies passieren kann, und die Verletzung von weniger als 90% der Personen C3 vermieden werden kann. Dieses Ereignis erhält einen ASIL D, was dazu führen wird, dass zur Vermeidung dieses Ereignisses die strengsten Maßstäbe der ISO 26262 angewendet werden müssen.

Bild   Bestimmung des Automotive Safety Integrity Level (ASIL)

Sie können in der Tabelle ein Prinzip erkennen: Immer wenn eines der drei Kriterien eine Stufe schwächer bewertet wird, dann führt dies zur Reduktion des ASILs um eine Stufe. Nehmen wir zum Beispiel an, dass mehr Personen die Verletzung noch durch eine entsprechende Reaktion vermeiden können, also C2 anstatt von C3, dann würde die gefährliche Situation nur ASIL C erhalten. Und so weiter. Die Einstufung QM in der Tabelle erlaubt Ihnen eine weitere Entwicklung des Items ohne die ISO 26262, rein nach den Maßstäben von Qualitätsmanagement im Automotive-Bereich.

Für eine Motorradentwicklung wenden Sie das gleiche Verfahren an, mit dem Unterschied, dass das Ergebnis ein Motorcycle Safety Integrity Level, MSIL, ist. Da die gesamte ISO 26262 aber in Abhängigkeit von einem ASIL spezifiziert was zu tun ist, wandeln Sie anschließend den MSIL mittels der rechts abgebildeten Tabelle in einen ASIL um. Und Sie sehen, dass dabei jeweils eine Reduktion um eine Stufe stattfindet. Motorräder werden also höchstens mit ASIL C entwickelt. Warum das denn, werden Sie sich fragen? Zumindest ein paar nachvollziehbare Hinweise gibt uns die ISO 26262. So tragen Motorradfahrer einen Helm, Sie fahren eher nicht mit hoher Geschwindigkeit auf unbefestigten Straßen und benötigen einen speziellen Führerschein. Und die Tatsache, dass sie überhaupt Motorrad fahren, mag bereits von der Bereitschaft zeugen, ein höheres Risiko einzugehen.

Bild   ASIL-Bestimmung für Motorräder über einen MSIL