Konzeptphase der Funktionalen Sicherheit (Teil 3 der ISO 26262)
Als Fahrzeughersteller sind Sie für die Konzeptphase der Funktionssicherheit im Automotivebereich zuständig. Dazu müssen Sie sich mit Teil 3 der ISO 26262 vertraut machen. Hier finden Sie einen schnellen Überblick zu diesem Thema, inklusive eines Videos und unseres kostenlosen Whitepapers.
Zurück zu Funktionaler Sicherheit
Interessiert an einer kurzen Zusammenfassung über die Konzeptphase in der funktionalen Sicherheit? Unser kostenloses Whitepaper bietet Ihnen eine Zusammenfassung aller wichtigen Informationen, inklusive Abbildungen, die das Gesagte über Teil 3 der ISO 26262 zeigen – die ideale Lektüre für alle, die neu in das Thema Prozessverbesserungen von sicherheitskritischen Systemen einsteigen.
Hier erfahren Sie, was in Bezug auf die funktionale Sicherheit zu Beginn der Entwicklung oder Anpassung eines Elektronikprodukts für Fahrzeuge getan werden muss.
Egal ob Sie Mitarbeiter eines Automobilherstellers oder eines Zulieferers sind. Oft wird der Fehler gemacht, ein Risiko für die Gesundheit oder das menschliche Leben, das von einer elektrischen und/oder elektronischen Funktion in einem Fahrzeug ausgeht, nicht richtig eingestuft oder die Ziele für die funktionale Sicherheit nicht eindeutig festgelegt zu haben. Wer diesen Fehler macht, dem fehlt die Entscheidungsgrundlage für die weitere technische Entwicklung zur Erreichung der funktionalen Sicherheit. Deshalb müssen Sie frühzeitig im Entwicklungsprozess ansetzen, wie in der ISO 26262 gefordert.
ISO 26262 nennt die frühe Phase der Produktentwicklung Konzeptphase (“concept phase”) und beschreibt die meisten Aspekte in Teil 3.
Zur Konzeptphase gehört auch eine Auswirkungsanalyse („impact analysis“), deren Anforderungen in Teil 2 enthalten sind. Für den Einsatz bei der Entwicklung von Motorrädern enthält Teil 12 spezifischere Informationen zur Risikobewertung.
In der Konzeptphase müssen vier Themen bearbeitet und umgesetzt werden.
- Item Definition
- Auswirkungsanalyse auf der Ebene des Items
- Gefährdungsanalyse und Risikobewertung
- Funktionales Sicherheitskonzept
Ich werde diese im Folgenden näher erläutern und wichtige Aspekte als „Lektionen“ für Sie hervorheben.
Bild
Aufbau der ISO 26262:2018
Zu Beginn geht es bei der "Item Definition" darum, den Gegenstand der Entwicklung klar zu definieren und abzugrenzen. Existiert ein Vorgängerprodukt, kommt eine Auswirkungsanalyse ("impact analysis") ins Spiel. Mit Hilfe einer Methode, spezifisch für den Automobilbereich, werden gefährliche Ereignisse bewertet und der erforderliche Fahrzeugsicherheits-Integritätslevel („Automotive Safety Integrity Level“/"ASIL") bestimmt, der definiert, wie die Entwicklung durchgeführt werden soll. Ein funktionales Sicherheitskonzept („functional safety concept“) legt auf Fahrzeugebene fest, wie die Sicherheitsziele erreicht werden sollen, durch Interaktion der zu entwickelnden Systeme.
Der Begriff "Item" bezeichnet das Objekt, das es zu entwickeln gilt, Ihr Produkt (siehe Abbildung). Dabei handelt es sich um ein oder mehrere interagierende elektrische und/oder elektronische Systeme, die die gewünschte Funktion implementieren. Beispiele für Items sind automatische Geschwindigkeitsregelungssysteme, Airbags oder elektrische Komponenten, wie ein elektrischer Fensterheber, der zum Beispiel einen Arm oder Kopf einklemmen kann. Ein Item zu entwickeln bedeutet, dass verschiedene Arten von Anforderungen und Randbedingungen zusammengeführt werden müssen, seien es funktionelle Anforderungen, normative Verweise oder die Leistung der beteiligten Aktuatoren im Fahrzeug. Es ist auch wichtig, sich darüber einig zu sein, was außerhalb des Items liegt, d.h. dass man die Grenze der Entwicklung kennt.
Damit haben wir die erste wichtige Lektion: Das Objekt, das entwickelt wird, das Item, muss definiert und seine Grenzen müssen festgelegt werden.
Dies ist unser zweites Thema. Über eine Auswirkungsanalyse findet man heraus, wie der Lebenszyklus angepasst werden sollte und welche Sicherheitsaktivitäten notwendig sind. Es muss bekannt sein, ob es sich um eine Neuentwicklung, eine Modifikation oder nur um den Einsatz eines zuvor entwickelten Items in einer veränderten Umgebung handelt, zum Beispiel eines Airbags in einer neuen Fahrzeugvariante. Im Sicherheitslebenszyklus bezieht sich dies nun in erster Linie auf die Ebene des Automobilherstellers und des Fahrzeugs, aber alle Zulieferer sollten für ihren Verantwortungsbereich eine Auswirkungsanalyse durchführen.
Um die notwendigen Sicherheitsaktivitäten bestimmen zu können, muss zunächst eine Auswirkungsanalyse durchgeführt werden.
Benötigen Sie Unterstützung für Ihr Projekt? Wir sind Ihre Ansprechpartner rund um Managementberatung und Verbesserungsprogramme in der Elektronikentwicklung.
Steffen Herrmann und das Sales-Team
Bei unserem dritten Thema geht es um das Verständnis der von unserem Produkt ausgehenden Risiken.
Das Risiko für menschliches Leben, das von unserem Item ausgeht, muss abgeschätzt werden. Dies ist typischerweise eine Tätigkeit, die vom Fahrzeughersteller durchgeführt werden muss. Abhängig von dieser Risikoabschätzung muss technisch und organisatorisch manchmal mehr und manchmal weniger getan werden. Die Gefährdungsanalyse und Risikobewertung („Hazard Analysis and Risk Assessment“/"HARA") beginnt mit einer Beschreibung von Betriebssituationen („operational situations“) und Betriebsarten („operating modes“), zum Beispiel "Fahren auf einer Autobahn". Es werden die Gefahren ermittelt, die bei Fehlern in unserem Item auftreten. Beispielsweise könnte ein Spurhalteassistent das Fahrzeug versehentlich auf die andere Straßenseite lenken. Für die relevanten gefährlichen Ereignisse („hazardous events“) wird dann der Fahrzeugsicherheits-Integritätslevel bestimmt. Dieser „ASIL“ hat einen wesentlichen Einfluss auf die Entwicklungsaktivitäten und das Produkt.
Dazu bestimmen Sie
- den Schweregrad („Severity“) des Schadens,
- die Wahrscheinlichkeit sich in der Betriebssituation zu befinden („Exposure“) und
- die Beherrschbarkeit bzw. die Fähigkeit zur Schadensvermeidung durch Fahrer oder anderer Verkehrsteilnehmer („Controllability“).
Danach bestimmen Sie den ASIL anhand einer Tabelle, die Sie im Whitepaper findenBeispielsweise könnte ein fehlerhaftes Lenken durch den Spurhalteassistenten - auf die Gegenfahrbahn - als ASIL D eingestuft werden, da dies zu schweren Verletzungen führen kann. Dagegen ist die fehlerhafte Darstellung eines zu erkennenden Verkehrszeichens weniger kritisch, da ein Verkehrszeichenerkennungssystem für sich genommen nicht in den Fahrzeugbetrieb eingreift und der Fahrer in der Regel angemessen reagiert. Wenn Sie diese Bewertungen durchgeführt haben, schreiben Sie Sicherheitsziele („safety goals“) für die weitere Entwicklung auf. Sicherheitsziele sind Sicherheitsanforderungen der obersten Abstraktionsebene, die geeignet sind, gefährliche Ereignisse abzumildern.
Das Item wird einer HARA unterzogen, um die Sicherheitsaktivitäten zu skalieren.
Sicherheitsziele werden formuliert.
Das vierte Thema in der Konzeptphase ist das funktionale Sicherheitskonzept („Functional Safety Concept"/“FSC“). Es geht darum, aus den Sicherheitszielen funktionale Sicherheitsanforderungen („Functional Safety Requirements“/“FSRs“) abzuleiten. Hier werden Anforderungen zur Vermeidung, Erkennung und Beherrschung von Fehlern spezifiziert. Es wird ein sicherer Zustand („safe state“) definiert, in den das System im Falle eines Fehlers übergeht. Oder, wenn dies nicht sofort möglich ist, in welchen degradierten Zustand das System vorübergehend wechseln soll. Es werden Warnungen für den Fahrer definiert, die im Fehlerfall angezeigt werden.
Anforderungen müssen so zugeordnet werden, dass sie entweder in der Systemarchitektur oder durch externe Maßnahmen umgesetzt werden. Das FSC muss überprüft werden (z.B. durch ein Review), um festzustellen, ob es geeignet ist, die Gefahren angemessen zu mindern.
Die Anforderungen an die funktionale Sicherheit werden den Systemen zur Implementierung zugewiesen.
Ein funktionales Sicherheitskonzept beschreibt in umfassender Weise, wie Gefährdungen verhindert oder gemindert werden sollen.
Wir sind stolz, dass wir seit 2008 zu den Pionieren der Funktionalen Sicherheit zählen und unsere Erfahrung bei der Entwicklung der Sicherheitsnorm ISO 26262 einbringen konnten.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Wir verfügen über die geballte Erfahrung aus über 700 Projekten zur Funktionalen Sicherheit nach ISO 26262 bei weltweit über 100 Kunden.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Wir haben über 100 Spezialisten im Rahmen des Zertifizierungsprogramms »TÜV Rheinland Functional Safety (Automotive)« ausgebildet.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Die Erfahrung unserer Expertinnen und Experten im Bereich Funktionale Sicherheit beträgt zusammen über stolze 250 Jahre.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Wir haben den Fachbuch-Klassiker »Funktionale Sicherheit in der Praxis« und das »Essentials Funktionale Sicherheit« verfasst.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Bei uns engagieren sich bereits 18 Experten, die nach dem TÜV Rheinland Functional Safety (Automotive) zertifiziert oder selbst als Trainer zugelassen sind.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Wir bringen unsere Expertise in Branchenverbände ein, beispielsweise in die Gremien des Zentralverbands der Elektroindustrie.
Automobilelektronik funktional sicher?
Wir sind die Experten!
Dies war ein Überblick über die Konzeptphase nach ISO 26262. Im Folgenden nun eine Zusammenfassung dessen, was Sie über diese Phase lernen und sich zu Herzen nehmen sollten:
- Wie bei jedem Entwicklungsprojekt, muss das zu entwickelnde Objekt, das „Item“ genannt wird, definiert und seine Grenzen festgelegt werden.
- In allen Fällen, in denen wir auf der Grundlage eines bestehenden Systems entwickeln, muss eine Auswirkungsanalyse durchgeführt werden, um die notwendigen Sicherheitsaktivitäten bestimmen zu können.
- Das Item wird einer Gefährdungsanalyse und Risikobewertung unterzogen, um die Sicherheitsaktivitäten zu skalieren. Zu diesem Zweck wird eine für die Automobilindustrie spezifische Methode verwendet, die auf einer Bewertung des Risikos relevanter gefährlicher Ereignisse basiert. ASIL D zeigt das höchste Risiko an und erfordert daher die umfangreichste Anwendung von Anforderungen der ISO 26262.
- Sicherheitsziele werden formuliert, die in Form von funktionalen Sicherheitsanforderungen (FSRs) auf Fahrzeugebene detailliert werden.
- Die FSRs werden wiederum Systemen zur Umsetzung zugeordnet.
- Ein funktionales Sicherheitskonzept umfasst FSRs und beschreibt umfassend, wie Gefahren gemindert werden sollen.
Wir unterstützen Sie dabei,
- Ihre Prozesse nach den aktuellsten Normen der Sicherheit zu verbessern, um technisch zuverlässige, verfügbare, instandhaltbare und funktionale Produkte entwickeln und vermarkten zu können.
- Sicherheitsmanagementsysteme konzipieren und umsetzen zu können.
- durch Safety Audits zu bestätigen, dass Ihr Safety Management seinen Anforderungen gerecht wird.
- zuverlässig beurteilen zu können, ob ein Lieferant entsprechende Komponenten tatsächlich beisteuern kann.
- die Funktionale Sicherheit elektronischer Systeme und Komponenten bewerten zu können.
- Ihre Mitarbeiterinnen und Mitarbeiter bei allen Fragen der Funktionalen Sicherheit zu schulen.
