Abspielen

Gefährdungsanalyse und Risikobewertung: HARA gemäß ISO 26262:2018

Die sogenannte Gefährdungsanalyse und Risikobewertung heißt auf Englisch „hazard analysis and risk assessment“ und wird daher HARA abgekürzt. Dieser wichtige Schritt in der ISO 26262 definiert, wie das Risiko von Elektronik in Serien-Straßenfahrzeugen abgeschätzt und bewertet wird. Insbesondere geht es dabei um das Risiko von Fehlfunktionen der Elektrik, der Elektronik und der Software. Sie lernen die 8 wichtigsten Aspekte kennen, die Sie bei der Durchführung einer HARA berücksichtigen müssen.

Zurück zu funktionale Sicherheit
HARA im Überblick

Zur HARA, Hazard Analysis and Risk Assessment, haben wir ein umfangreiches Whitepaper verfasst. Dieses umfasst das Skript des Videos und die dort gezeigten Tabellen. Sie können es hier kostenlos herunterladen. 

Elektrik und Elektronik in Fahrzeugen muss sicher sein. Um nun z.B. sichere Software und Hardware zu entwickeln, müssen Sie sich zunächst einmal die Frage stellen, was denn passieren kann, wenn die Software oder die Hardware ausfällt. Im klassischen Risikomanagement bewerten Sie dann die Eintrittswahrscheinlichkeit der Risiken und die Schwere der Auswirkungen. Daraus leiten Sie eine Risikobewertung und einen entsprechend abgestuften Umgang mit den Risiken ab.

Es hat sich herausgestellt, dass dieses klassische Vorgehen im Kontext von Elektronik in Straßenfahrzeugen nicht einfach zu interpretieren und umzusetzen ist.
Vielmehr bedarf es einer speziellen Interpretation und einer Anpassung des Verfahrens. Genau das ist im Standard für die funktionale Sicherheit von Straßenfahrzeugen, in der ISO 26262, beschrieben.

In diesem Whitepaper werde ich Ihnen nun dieses Verfahren erläutern und Ihnen nützliche, praktische Hinweise und Tipps mit auf den Weg geben. Zum Schluss werde ich die wichtigsten Erkenntnisse für Sie zusammenfassen. Diese Schlüsselerkenntnisse sind das, was Sie unbedingt für Ihre zukünftige Arbeit mitnehmen sollten.

Wir sind für Sie da.

Benötigen Sie Unterstützung für Ihr Projekt? Wir sind Ihre Ansprechpartner rund um Managementberatung und Verbesserungsprogramme in der Elektronikentwicklung.

Steffen Herrmann und das Sales-Team

So führen Sie eine HARA durch

Der Begriff Gefährdungsanalyse und Risikobewertung (HARA) bezeichnet genau das in der ISO 26262 für den Automotive-Sektor definierte Verfahren. Er wird als HARA abgekürzt und ist wie folgt definiert:

“Method to identify and categorize hazardous events of items and to specify safety goals and ASILs related to the prevention or mitigation of the associated hazards in order to avoid unreasonable risk.”

Das ist eine recht komplizierte Definition. Da wird eine ganze Ansammlung von Spezialbegriffen verwendet. An all diesen Begriffen kommen wir im Folgenden noch vorbei. Beachten Sie, dass Sie im Automotive-Bereich immer genau diesen HARA-Begriff und diese Bezeichnung verwenden, weil damit genau das vorgeschriebene Verfahren bezeichnet wird. Würden Sie zum Beispiel den weit verbreiteten Begriff Gefahren- und Risikoanalyse (hazard and risk analysis) verwenden, dann würden andere Personen vermutlich darunter die in der IEC 61508 enthaltenen Anforderungen verstehen, die aber nicht Automotive-spezifisch sind.

Erst einmal eine Bemerkung zum Begriff Gefahr (hazard): Es geht hier ausschließlich um solche Gefahren, die zu Körperverletzungen und Gesundheitsschäden von Personen führen können (physical injury or damage to the health of persons). Reputationsschäden oder Kosten für Automobilbauer und Zulieferer spielen keine Rolle bei der Analyse.

Da ist die Rede vom Item, auf welches die HARA angewendet wird. Das bedeutet, dass eine solche HARA für Funktionen auf Fahrzeugebene und auf die Systeme, die diese Funktionen implementieren, angewendet wird. Beispiele: Lenken, Bremsen,  Abstandsregeltempomat, Fahrlichter. Da wir in einem Fahrzeug eine ganze Reihe solcher Items haben, müssen also ebenso viele HARAs durchgeführt werden. Sie ahnen schon, dass es erstens nicht einfach ist, die Items gegeneinander abzugrenzen und zweitens dahinter eine ganze Menge Arbeit steckt. Der Automobilbauer stellt die Items zusammen und weiß um deren Wechselwirkungen. Er ist daher für die Durchführung der HARA verantwortlich, nicht die Zulieferer.

In der Definition des Begriffs HARA ist auch die Rede von der Vermeidung unangemessener Risiken (avoid unreasonable risk). Unangemessene Risiken wiederum sind als Risiken zu interpretieren, die durch die Gesellschaft als moralisch inakzeptabel beurteilt werden. Damit wird es nun schwierig, da eine solche Beurteilung nicht objektiv vorliegen und als Maßstab herangezogen werden kann. Wie wir sehen werden, enthält die ISO 26262 zwar konkrete Kriterien, diese müssen aber bei der HARA dennoch durch den Automobilbauer kontextabhängig interpretiert werden. Das kann zu unterschiedlichen Ergebnissen der HARA führen, zum Beispiel abhängig vom Einsatzbereich des Fahrzeugs, von den designierten Vermarktungsländern oder von den Fähigkeiten durchschnittlicher Fahrer. Ein Stück weit berücksichtigt dies die ISO 26262 indem sie spezielle Interpretationstabellen für PKW, Lastwagen, Busse und Motorräder enthält. Letztendlich ist eine HARA trotz konkret vorgegebener Methode abhängig von den Personen, die sie durchführen. Um aber Fehlinterpretationen und Missbrauch vorzubeugen, verlangt die ISO einen Review der HARA und eine Bestätigung der HARA durch eine unabhängige Instanz.

Wie läuft nun eine solche Gefährdungsanalyse und Risikobewertung praktisch ab? Um das zu erläutern, unterteile ich die HARA in sieben logisch aufeinander aufbauende Schritte.
 

Beginnen können Sie mit dem ersten Schritt auf der Basis einer vorhandenen Item Definition. Im ersten Schritt ermitteln Sie relevante Betriebssituationen und Betriebsarten. Betriebssituationen wären zum Beispiel Fahren in der Stadt, auf der Landstraße oder auf der Autobahn. Betriebsarten wären zum Beispiel Vorwärtsfahrt, Rückwärtsfahrt oder auch ein in der Werkstatt aufgebocktes Fahrzeug mit laufendem Motor. Welche Unterteilung der Betriebssituationen und Betriebsarten sinnvoll ist, hängt sehr stark vom jeweiligen Item ab.

Der zweite Schritt besteht darin, sich die Gefahren für Leib und Leben vorzustellen. Sie sollen solche Gefahren aufschreiben, die entweder durch einen Fehler im Item entstehen oder aber durch vorhersehbare Fehlbedienung durch den Fahrer (reasonably foreseeable misuse). Ermittelt werden Gefahren auf Fahrzeugebene für Insassen und andere Verkehrsteilnehmer. Eine Gefahr eines Abstandsregeltempomaten ist zum Beispiel eine ungewollte Beschleunigung. Eine Gefahr des Fahrlichts ist es, wenn das Licht ungewollt ausgeht. Für die Betrachtung ist irrelevant, wie das Item selbst konstruiert ist. Wenn ein Fehler in einem Item aber zu einem Ausfall eines anderen Items führt, dann müssen Sie die dadurch entstehenden Gefahren betrachten.

Das Auftreten einer bestimmten Gefahr in einer bestimmten Betriebssituation wird nun als gefährliches Ereignis bezeichnet. So wäre z.B. der Ausfall des Lichts beim Fahren in Dunkelheit auf einer kurvigen Landstraße ein gefährliches Ereignis. Im dritten Schritt werden nun diese gefährlichen Ereignisse einzeln anhand von drei Kriterien bewertet. Diese sind

  • die Schwere der Verletzung,
  • die Häufigkeit der Betriebssituation und
  • die Beherrschbarkeit der Situation zur Abwendung der Verletzungen.

Die Schwere der Verletzung (severity) wird in vier Stufen S0 bis S3 eingeschätzt.

Bild   Vier Klassen zur Einstufung der Schwere von Verletzungen

In der ISO 26262 können Sie nachlesen, wie die Stufen präzise über die sogenannte Abbreviated Injury Scale, AIS, classification definiert sind. ISO 26262 enthält außerdem Beispiele für Unfälle und deren eventueller Schwere von Verletzungen.

Für die Exposure sind fünf Stufen E0 bis E4 definiert. Außerdem gibt es zwei Varianten für die Einstufung.

Bild   Fünf Klassen zur Einstufung der Exposure

Eine Einstufung nach der Häufigkeit, in der man sich in der Betriebssituation (operational situation) befindet, bietet sich für Fehler an, die in bestimmten Situationen spürbar werden. Zum Beispiel das Versagen des Airbags bei einem Zusammenstoß. In der normalen Fahrt würde man nämlich nicht merken, dass der Airbag nicht mehr auslöst.

Eine Einstufung nach der Dauer (duration) bietet sich immer dann an, wenn ein Fehler sofort seine Auswirkung entfalten würde. Zum Beispiel der Lichtausfall bei Nachfahrt. In diesem Fall würden Sie abschätzen, wieviel Prozent der Fahrzeugbetriebszeit typischerweise bei Nacht gefahren wird. Oft ist die angenommene Betriebszeit 400 Stunden pro Jahr für einen PKW. Aber das müssen Sie im Einzelfall für das Fahrzeug einschätzen. Sollte es sich beim Element, welches ausfallen kann, um ein Steuergerät handeln, welches permanent aktiv ist, so wäre nicht die Fahrzeugbetriebszeit, sondern die gesamte Zeit als Basis für die Einschätzung des Prozentsatzes heranzuziehen. Wichtig ist bei der Exposure verstanden zu haben, dass es hier nicht um die Abschätzung der Häufigkeit geht, mit der ein Fehler auftreten kann. Es geht darum abzuschätzen, wie wahrscheinlich man in der Situation ist, in der ein Fehler seine Auswirkungen entfalten kann.

Bei der Beherrschbarkeit (controllability) geht es darum einzuschätzen, in wieweit im Falle einer Fehlfunktion die gefährdeten Personen den Gesundheitsschaden durch eine rechtzeitige Reaktion noch vermeiden können. Die Einstufung erfolgt nach ISO 26262 in eine von vier Stufen C0 bis C3. Beachten Sie, dass es meist, aber nicht immer der Fahrer ist, der hier gemeint ist zu reagieren. Es kann zum Beispiel auch ein Fußgänger sein, der zur Seite springen kann und somit die Kollision mit dem Fahrzeug vermeiden kann. Wenn wir die Definition der Beherrschbarkeit ansehen, dann ist dort die Rede von den Fähigkeiten durchschnittlicher Fahrer. Konkret bedeutet dies für Sie, dass Sie diesen Fahrer tatsächlich festlegen müssen, damit Sie seine Fähigkeiten einschätzen können.

Bild   Vier Klassen zur Einstufung der Beherrschbarkeit

Ich kann in diesem Whitepaper nicht alle Einzelheiten zu den drei Kriterien Severity, Exposure und Controllability darstellen. In der ISO 26262 finden Sie im Teil 3 sowohl die präzisen Definitionen, als auch noch eine Reihe von Beispielen und Hinweisen. Darüber hinaus gibt es auch für Lastwagen und Busse spezielle Hinweise zur Exposure im Anhang von Teil 3. Und für Motorräder sind alle drei Kriterien ganz anders zu interpretieren, weshalb der Teil 12 dafür spezielle Beispiele bereithält.

Sie mögen sich nun die Frage stellen, ob es nicht eine Standardeinschätzung der drei Kriterien gibt, so dass die Arbeit für alle effizienter wird. In der Tat kursieren solche Dokumente, wie zum Beispiel VDA 702 für die Exposure. Immer sind solche Dokumente aber nur Beispiele und nie verbindlich. Das hat den einfachen Grund, dass nämlich die Verantwortung für die Einschätzung im Einzelfall beim Fahrzeughersteller bleibt und nicht auf jemand anderes abgewälzt werden kann.

Genauso wenig gibt für einzelne Items verbindliche Listen von gefährlichen Ereignissen (hazardous events), obwohl natürlich Fahrzeughersteller und Zulieferer längst solche Listen erarbeitet haben. Wenn Sie eine HARA zum ersten Mal durchführen, werden Sie feststellen, dass Sie sich iterativ an eine sinnvolle Menge gefährlicher Ereignisse herantasten müssen. Als Faustregel können Sie sich merken, dass Sie mehrere gefährliche Ereignisse zusammenfassen können, wenn Sie zu gleichen Einschätzungen der drei Kriterien kommen.
 

Wir sind nun beim vierten Schritt unserer HARA angekommen. In diesem Schritt bestimmen Sie für jedes gefährliche Ereignis den Automotive Safety Integrity Level, den ASIL. Das geht ganz einfach, indem Sie mit den drei abgeschätzten Werten von S, E und C in die folgende Tabelle schauen und schon haben Sie den ASIL. Im schlimmsten Fall haben Sie ein gefährliches Ereignis, welches zu tödlichen Verletzungen S3 führen kann, das Fahrzeug sich häufig E4 in einer Betriebssituation befindet, in der dies passieren kann, und die Verletzung von weniger als 90% der Personen C3 vermieden werden kann. Dieses Ereignis erhält einen ASIL D, was dazu führen wird, dass zur Vermeidung dieses Ereignisses die strengsten Maßstäbe der ISO 26262 angewendet werden müssen.

Bild   Bestimmung des Automotive Safety Integrity Level (ASIL)

Sie können in der Tabelle ein Prinzip erkennen: Immer wenn eines der drei Kriterien eine Stufe schwächer bewertet wird, dann führt dies zur Reduktion des ASILs um eine Stufe. Nehmen wir zum Beispiel an, dass mehr Personen die Verletzung noch durch eine entsprechende Reaktion vermeiden können, also C2 anstatt von C3, dann würde die gefährliche Situation nur ASIL C erhalten. Und so weiter. Die Einstufung QM in der Tabelle erlaubt Ihnen eine weitere Entwicklung des Items ohne die ISO 26262, rein nach den Maßstäben von Qualitätsmanagement im Automotive-Bereich.

Für eine Motorradentwicklung wenden Sie das gleiche Verfahren an, mit dem Unterschied, dass das Ergebnis ein Motorcycle Safety Integrity Level, MSIL, ist. Da die gesamte ISO 26262 aber in Abhängigkeit von einem ASIL spezifiziert was zu tun ist, wandeln Sie anschließend den MSIL mittels der rechts abgebildeten Tabelle in einen ASIL um. Und Sie sehen, dass dabei jeweils eine Reduktion um eine Stufe stattfindet. Motorräder werden also höchstens mit ASIL C entwickelt. Warum das denn, werden Sie sich fragen? Zumindest ein paar nachvollziehbare Hinweise gibt uns die ISO 26262. So tragen Motorradfahrer einen Helm, Sie fahren eher nicht mit hoher Geschwindigkeit auf unbefestigten Straßen und benötigen einen speziellen Führerschein. Und die Tatsache, dass sie überhaupt Motorrad fahren, mag bereits von der Bereitschaft zeugen, ein höheres Risiko einzugehen.

Bild   ASIL-Bestimmung für Motorräder über einen MSIL

Haben Sie die ASILs für die gefährlichen Ereignisse, geht es im nächsten Schritt darum, sogenannte Sicherheitsziele (safety goals) zu formulieren. Dies sind funktionale Zielsetzungen oder top-level Sicherheitsanforderungen, die geeignet sein müssen, das gefährliche Ereignis zu vermeiden oder ausreichend zu mildern. Ein Beispiel eines Sicherheitsziels: „Vermeidung der Aktivierung der elektromagnetischen Lenkradverriegelung während der Fahrt.“ Oft können Sie sinnvoll für mehrere gefährliche Ereignisse ein einziges Sicherheitsziel formulieren, so dass Sie im Endeffekt auf eine einstellige Anzahl von Sicherheitszielen kommen. Jedes Sicherheitsziel erhält den höchsten ASIL der zugehörigen gefährlichen Ereignisse.

Die Sicherheitsziele mit ihren ASILs sind das Hauptergebnis der HARA und bilden den Ausgangspunkt für die Entwicklung eines Funktionalen Sicherheitskonzepts.

Haben Sie die HARA durchgeführt und dokumentiert, so müssen Sie diese einer Verifikation nach den Regeln der ISO 26262, Teil 8, unterziehen. Ein Reviewteam muss zum Beispiel prüfen, ob ausreichend und sinnvolle, gefährliche Situationen betrachtet werden, ob die Sicherheitsziele dazu konsistent sind und ob das HARA-Verfahren korrekt angewendet ist.

Der siebte und letzte Schritt besteht darin, dass jede HARA von einer Person außerhalb der Entwicklung bestätigt werden muss. Sie brauchen diese unabhängige Bestätigung, um sicher zu sein, dass Sie mit dem richtigen ASIL arbeiten, und dass die ISO 26262-Kriterien für eine HARA erfüllt sind.

Damit sind wir durch alle Schritte durch. Jetzt wissen Sie, was alles zu tun ist und wie es zusammenhängt. Und vielleicht ahnen Sie, wieviel Arbeit eine erste Durchführung einer HARA für ein unerfahrenes Team ist. Sie müssen bedenken, dass Sie für die einzelnen Themen auch die Zuarbeit ganz unterschiedlicher Personen benötigen. Wer stellt die relevanten Betriebssituationen zusammen? Wer schätzt die Schwere von Verletzungen unterschiedlicher Arten von Unfällen bei unterschiedlichen Geschwindigkeiten ab? Welche Statistiken werten wir dazu aus? Müssen wir Versuche mit größeren Personengruppen durchführen, wie sie auf bestimmte Fehler des Fahrzeugs reagieren? Führen Sie eine HARA für Ihre Firma zum ersten Mal durch, dann ist das vermutlich ein sehr aufwändiges Unterfangen. Haben Sie es aber einmal für Ihre Art von Funktion oder Produkt gemacht, dann können Sie mit sehr viel geringerem Aufwand rechnen, weil Ihre Lernkurve wahrscheinlich steil sein wird.

Ich hatte eingangs gesagt, dass der Automobilbauer die HARA durchführen muss. Für Sie als Zulieferer einer Elektronikkomponente kann es aber im Rahmen Ihrer Produktentwicklung dennoch sehr nützlich sein, eine HARA selbst durchzuführen. Sie stellen dabei Annahmen über Items auf, in die Ihre Komponente eingebaut wird. Die HARA liefert Ihnen dann Sicherheitsziele und ASILs, aus denen Sie sinnvolle funktionale Sicherheitsanforderungen mit ASILs als stabile Ausgangsbasis für Ihren Entwicklungsumfang ableiten. Das ermöglicht Ihnen Produktentwicklung, ohne dass Sie bereits einen konkreten Kunden haben. Und es bringt Sie später in der Verhandlung mit dem Automobilbauer in eine deutlich kompetentere Position. Es löst auch ein Stück weit das Problem, dass Automobilbauer Ihnen häufig zu spät Sicherheitsanforderungen nennen.

DAkkS-Akkreditierung als Inspektionsstelle Typ C

Als offiziell akkreditierte Inspektionsstelle Typ C bieten wir Assessments der Funktionalen Sicherheit (FSA) an. Wir sind bei der Deutschen Akkreditierungsstelle (DAkkS) gelistet und verfügen über die Kompetenz, lnspektionen im Bereich der Funktionalen Sicherheit von Systemen, Komponenten, Hardware und Software für Automotive Anwendungen durchzuführen.

Zusammenfassung

Damit sind wir durch alle Punkte durch, die ich Ihnen vermitteln wollte. Lassen Sie mich abschließend die wichtigsten Dinge in Form von acht Schlüsselerkenntnissen zusammenfassen.

  • Wir betrachten hier nur Gefahren für Leib und Leben von Verkehrsteilnehmer, die durch Versagen und Fehlverhalten von Elektrik und Elektronik in Straßenfahrzeugen entstehen.
  • Solche Gefahren müssen identifiziert und nach der vorgegebenen Methode Gefährdungsanalyse und Risikobewertung (hazard analysis and risk assessment) (HARA) bewertet werden.
  • Eine HARA wird für Items auf Fahrzeugebene typischerweise durch den Automobilhersteller durchgeführt.
  • Relevante gefährliche Ereignisse (hazardous events) werden identifiziert und dafür die Schwere der Verletzung (severity of harm) (S), die Häufigkeit der Betriebssituation (exposure) (E) und die Beherrschbarkeit der Situation zur Abwendung der Verletzungen (controllability) (C) eingeschätzt.
  • Für die gefährlichen Ereignisse wird anhand von S, E und C ein Automotive Safety Integrity Level (ASIL) bestimmt.
  • Für die gefährlichen Ereignisse werden passende Sicherheitsziele (safety goals) mit ASILs aufgestellt.
  • Die ermittelten ASILs A bis D steuern die Stringenz der Entwicklungsschritte und Sicherheitsmechanismen.

Die erstmalige Durchführung einer HARA ist aufwändig und erfordert Zuarbeit durch viele verschiedene Personen. So, jetzt wissen Sie was eine Gefährdungsanalyse und Risikobewertung für Straßenfahrzeuge nach ISO 26262 ist, wofür man sie braucht, und dass sie nicht ganz einfach durchzuführen ist.

Wir unterstützen Sie durch
  • Ihre Prozesse nach den aktuellsten Normen der Sicherheit zu verbessern, um technisch zuverlässige, verfügbare, instandhaltbare und funktionale Produkte entwickeln und vermarkten zu können.
  • Sicherheitsmanagementsysteme konzipieren und umsetzen zu können.
  • durch Safety Audits zu bestätigen, dass Ihr Safety Management seinen Anforderungen gerecht wird.
  • zuverlässig beurteilen zu können, ob ein Lieferant entsprechende Komponenten tatsächlich beisteuern kann.
  • die Funktionale Sicherheit elektronischer Systeme und Komponenten bewerten zu können.  
  • Ihre Mitarbeiterinnen und Mitarbeiter bei allen Fragen der Funktionalen Sicherheit zu schulen.

Download Ihres Whitepapers