Als Fahrzeughersteller sind Sie für die Konzeptphase der Funktionssicherheit im Automotivebereich zuständig. Dazu müssen Sie sich mit Teil 3 der ISO 26262 vertraut machen. Hier finden Sie einen schnellen Überblick zu diesem Thema, inklusive eines Videos und unseres kostenlosen Whitepapers.
Zurück zu Funktionaler SicherheitInteressiert an einer kurzen Zusammenfassung über die Konzeptphase in der funktionalen Sicherheit? Unser kostenloses Whitepaper bietet Ihnen eine Zusammenfassung aller wichtigen Informationen, inklusive Abbildungen, die das Gesagte über Teil 3 der ISO 26262 zeigen – die ideale Lektüre für alle, die neu in das Thema Prozessverbesserungen von sicherheitskritischen Systemen einsteigen.
Hier erfahren Sie, was in Bezug auf die funktionale Sicherheit zu Beginn der Entwicklung oder Anpassung eines Elektronikprodukts für Fahrzeuge getan werden muss.
Egal ob Sie Mitarbeiter eines Automobilherstellers oder eines Zulieferers sind. Oft wird der Fehler gemacht, ein Risiko für die Gesundheit oder das menschliche Leben, das von einer elektrischen und/oder elektronischen Funktion in einem Fahrzeug ausgeht, nicht richtig eingestuft oder die Ziele für die funktionale Sicherheit nicht eindeutig festgelegt zu haben. Wer diesen Fehler macht, dem fehlt die Entscheidungsgrundlage für die weitere technische Entwicklung zur Erreichung der funktionalen Sicherheit. Deshalb müssen Sie frühzeitig im Entwicklungsprozess ansetzen, wie in der ISO 26262 gefordert.
ISO 26262 nennt die frühe Phase der Produktentwicklung Konzeptphase (“concept phase”) und beschreibt die meisten Aspekte in Teil 3.
Zur Konzeptphase gehört auch eine Auswirkungsanalyse („impact analysis“), deren Anforderungen in Teil 2 enthalten sind. Für den Einsatz bei der Entwicklung von Motorrädern enthält Teil 12 spezifischere Informationen zur Risikobewertung.
In der Konzeptphase müssen vier Themen bearbeitet und umgesetzt werden.
Ich werde diese im Folgenden näher erläutern und wichtige Aspekte als „Lektionen“ für Sie hervorheben.
Zu Beginn geht es bei der "Item Definition" darum, den Gegenstand der Entwicklung klar zu definieren und abzugrenzen. Existiert ein Vorgängerprodukt, kommt eine Auswirkungsanalyse ("impact analysis") ins Spiel. Mit Hilfe einer Methode, spezifisch für den Automobilbereich, werden gefährliche Ereignisse bewertet und der erforderliche Fahrzeugsicherheits-Integritätslevel („Automotive Safety Integrity Level“/"ASIL") bestimmt, der definiert, wie die Entwicklung durchgeführt werden soll. Ein funktionales Sicherheitskonzept („functional safety concept“) legt auf Fahrzeugebene fest, wie die Sicherheitsziele erreicht werden sollen, durch Interaktion der zu entwickelnden Systeme.
Der Begriff "Item" bezeichnet das Objekt, das es zu entwickeln gilt, Ihr Produkt (siehe Abbildung). Dabei handelt es sich um ein oder mehrere interagierende elektrische und/oder elektronische Systeme, die die gewünschte Funktion implementieren. Beispiele für Items sind automatische Geschwindigkeitsregelungssysteme, Airbags oder elektrische Komponenten, wie ein elektrischer Fensterheber, der zum Beispiel einen Arm oder Kopf einklemmen kann. Ein Item zu entwickeln bedeutet, dass verschiedene Arten von Anforderungen und Randbedingungen zusammengeführt werden müssen, seien es funktionelle Anforderungen, normative Verweise oder die Leistung der beteiligten Aktuatoren im Fahrzeug. Es ist auch wichtig, sich darüber einig zu sein, was außerhalb des Items liegt, d.h. dass man die Grenze der Entwicklung kennt.
Damit haben wir die erste wichtige Lektion: Das Objekt, das entwickelt wird, das Item, muss definiert und seine Grenzen müssen festgelegt werden.
Dies ist unser zweites Thema. Über eine Auswirkungsanalyse findet man heraus, wie der Lebenszyklus angepasst werden sollte und welche Sicherheitsaktivitäten notwendig sind. Es muss bekannt sein, ob es sich um eine Neuentwicklung, eine Modifikation oder nur um den Einsatz eines zuvor entwickelten Items in einer veränderten Umgebung handelt, zum Beispiel eines Airbags in einer neuen Fahrzeugvariante. Im Sicherheitslebenszyklus bezieht sich dies nun in erster Linie auf die Ebene des Automobilherstellers und des Fahrzeugs, aber alle Zulieferer sollten für ihren Verantwortungsbereich eine Auswirkungsanalyse durchführen.
Um die notwendigen Sicherheitsaktivitäten bestimmen zu können, muss zunächst eine Auswirkungsanalyse durchgeführt werden.
Benötigen Sie Unterstützung für Ihr Projekt? Wir sind Ihre Ansprechpartner rund um Managementberatung und Verbesserungsprogramme in der Elektronikentwicklung.
Steffen Herrmann und das Sales-Team
Bei unserem dritten Thema geht es um das Verständnis der von unserem Produkt ausgehenden Risiken.
Das Risiko für menschliches Leben, das von unserem Item ausgeht, muss abgeschätzt werden. Dies ist typischerweise eine Tätigkeit, die vom Fahrzeughersteller durchgeführt werden muss. Abhängig von dieser Risikoabschätzung muss technisch und organisatorisch manchmal mehr und manchmal weniger getan werden. Die Gefährdungsanalyse und Risikobewertung („Hazard Analysis and Risk Assessment“/"HARA") beginnt mit einer Beschreibung von Betriebssituationen („operational situations“) und Betriebsarten („operating modes“), zum Beispiel "Fahren auf einer Autobahn". Es werden die Gefahren ermittelt, die bei Fehlern in unserem Item auftreten. Beispielsweise könnte ein Spurhalteassistent das Fahrzeug versehentlich auf die andere Straßenseite lenken. Für die relevanten gefährlichen Ereignisse („hazardous events“) wird dann der Fahrzeugsicherheits-Integritätslevel bestimmt. Dieser „ASIL“ hat einen wesentlichen Einfluss auf die Entwicklungsaktivitäten und das Produkt.
Dazu bestimmen Sie
Danach bestimmen Sie den ASIL anhand einer Tabelle, die Sie im Whitepaper findenBeispielsweise könnte ein fehlerhaftes Lenken durch den Spurhalteassistenten - auf die Gegenfahrbahn - als ASIL D eingestuft werden, da dies zu schweren Verletzungen führen kann. Dagegen ist die fehlerhafte Darstellung eines zu erkennenden Verkehrszeichens weniger kritisch, da ein Verkehrszeichenerkennungssystem für sich genommen nicht in den Fahrzeugbetrieb eingreift und der Fahrer in der Regel angemessen reagiert. Wenn Sie diese Bewertungen durchgeführt haben, schreiben Sie Sicherheitsziele („safety goals“) für die weitere Entwicklung auf. Sicherheitsziele sind Sicherheitsanforderungen der obersten Abstraktionsebene, die geeignet sind, gefährliche Ereignisse abzumildern.
Das Item wird einer HARA unterzogen, um die Sicherheitsaktivitäten zu skalieren.
Sicherheitsziele werden formuliert.
Das vierte Thema in der Konzeptphase ist das funktionale Sicherheitskonzept („Functional Safety Concept"/“FSC“). Es geht darum, aus den Sicherheitszielen funktionale Sicherheitsanforderungen („Functional Safety Requirements“/“FSRs“) abzuleiten. Hier werden Anforderungen zur Vermeidung, Erkennung und Beherrschung von Fehlern spezifiziert. Es wird ein sicherer Zustand („safe state“) definiert, in den das System im Falle eines Fehlers übergeht. Oder, wenn dies nicht sofort möglich ist, in welchen degradierten Zustand das System vorübergehend wechseln soll. Es werden Warnungen für den Fahrer definiert, die im Fehlerfall angezeigt werden.
Anforderungen müssen so zugeordnet werden, dass sie entweder in der Systemarchitektur oder durch externe Maßnahmen umgesetzt werden. Das FSC muss überprüft werden (z.B. durch ein Review), um festzustellen, ob es geeignet ist, die Gefahren angemessen zu mindern.
Die Anforderungen an die funktionale Sicherheit werden den Systemen zur Implementierung zugewiesen.
Ein funktionales Sicherheitskonzept beschreibt in umfassender Weise, wie Gefährdungen verhindert oder gemindert werden sollen.
Dies war ein Überblick über die Konzeptphase nach ISO 26262. Im Folgenden nun eine Zusammenfassung dessen, was Sie über diese Phase lernen und sich zu Herzen nehmen sollten: