Im letzten Beitrag konnten wir festhalten, dass ein Hazard Analysis and Risk Assessment (HARA), im Deutschen des öfteren auch G&R bzw. GuR (Gefahren- und Risikoanalyse) genannt, potenziell gefährliche Ereignisse identifiziert und diesen ein Automotive Safety Integrity Level (ASIL) zuordnet.
Doch die HARA ist damit keineswegs abgeschlossen. Wie geht es weiter?
Im nächsten Schritt werden für jedes einzelne gefahrbringende Ereignis Safety Goals (Sicherheitsziele) definiert. Dabei handelt es sich für das betrachtete Item um Sicherheitsanforderungen auf der obersten Ebene. An dieser Stelle ist es wichtig zu betonen, dass Safety Goals stets in Bezug auf Fehlfunktionen des Items, nicht bezüglich eines Fehlers, formuliert werden. Bereits vorhandene oder zur Implementierung vorgesehene Sicherheitsmechanismen für das Item werden innerhalb der HARA, sowohl bei der Gefahrenidentifikation als auch bei der Formulierung von Safety Goals, nicht berücksichtigt.
Im Folgenden soll der Unterschied zwischen einer Fehlfunktion und einem Fehler, am Beispiel einer elektronischen Parkbremse, verdeutlicht werden:
Nach der funktionalen Sicherheit gemäß ISO 26262 bezieht sich eine Fehlfunktion immer auf den Verlust einer vorgesehenen Funktion, resultierend aus jedem Verhalten eines E/E/PE – Systems, das nicht den spezifizierten Anforderungen oder der beabsichtigten Funktionalität entspricht.
Bei der elektronischen Parkbremse könnte von einer Fehlfunktion die Rede sein, wenn sie bei Betätigung des entsprechenden Schalters nicht aktiviert wird. Hervortreten könnte dies durch einen Softwarefehler oder durch ein Problem mit dem elektrischen Aktuator.
Die eigentliche Funktion könnte lauten: Aktivierung der elektronischen Parkbremse bei Betätigung des Schalters.
Die Fehlfunktion dazu: Die elektronische Parkbremse wird bei Betätigung des Schalters nicht aktiviert.
Somit führt die Fehlfunktion also dazu, dass die Parkbremse ihre Funktion, das Fahrzeug sicher in der Parkstellung zu halten, nicht erfüllen kann. Fehlfunktionen können das Ergebnis von Fehlern sein, beziehen sich aber auf das Systemverhalten.
Ein Fehler, gleichbedeutend mit dem Begriff „Fault“ in der Norm, ist stets eine Abweichung von der erwarteten oder erforderlichen Leistung eines Systems oder einer Komponente. Ursachen von Faults können systematisch, wie Konstruktionsfehler, oder zufällig, wie Alterung und Verschleiß von Bauteilen, sein.
Am Beispiel der elektronischen Parkbremse könnte eine fehlerhafte Komponente, wie ein defekter Schalter oder ein verschlissener Aktuator, letztendlich der Fehler sein.
Solche Fehler bzw. Faults werden nach der Gefahren- und Risikoanalyse, nämlich im darauf aufbauendenden Sicherheitskonzept, näher betrachtet.
Jedes formulierte Safety Goal wird mit dem zugehörigen ASIL versehen, das innerhalb der HARA bis hierhin vergeben wurde. In der Regel wird nach der Formulierung aller Safety Goals für das betrachtete Item in einer zweiten Runde versucht, die Safety Goals anzahlmäßig auf ein Minimum zu reduzieren. Dabei besteht im Falle der Bestimmung sich ähnelnder Safety Goals, die Möglichkeit, diese zu einem gemeinsamen Safety Goal zusammenzufassen. Entsprechend wird für das gemeinsame Safety Goal der höchste ASIL, aus den jeweils einzelnen ASILs der Safety Goals, vergeben. Sofern ein Safety Goal erfüllt werden kann, indem ein sicherer Zustand eingestellt wird, so ist dieser sichere Zustand ebenfalls zu spezifizieren.
Wie ein gemeinsames Safety Goal konkret aussehen könnte, soll erneut anhand der elektronischen Parkbremse im folgenden Beispiel verdeutlicht werden:
Gegeben sei ein Fahrzeug, das über eine elektronische Parkbremse verfügt, welche durch eine entsprechende Fahreranforderung aktiviert wird. Durch die Lieferung eines bestimmten Bremsmomentes an die Hinterräder des Fahrzeugs wird ein ungewolltes Wegrollen des Fahrzeugs beim Parken oder in ähnlichen Situationen verhindert.
Die HARA, bzw. GuR, hat unter anderem ergeben, dass eine unerwartete Verzögerung beim Fahrvorgang als Fehlfunktion zu gefahrenbringenden Ereignissen und darüber hinaus zu nicht tolerierbaren Risiken führen kann. So könnte bei einer hohen Geschwindigkeit die Folge ein Verlust der Fahrstabilität sein, wofür ein höherer ASIL vergeben wird. Bei einer eher geringeren Geschwindigkeit könnte die unerwartete Verzögerung in einem Auffahrunfall durch das Folgefahrzeug enden, wofür im Vergleich zum ersten Szenario ein niedrigerer ASIL vergeben wird.
Trotz unterschiedlicher ASILs für beide dieser gefahrbringenden Ereignisse kann ein gemeinsames Safety Goal definiert werden, welches lautet: Vermeidung der Aktivierung der elektronischen Parkbremse ohne Fahreranforderung, wenn das Fahrzeug fährt.
Ein sicherer Zustand kann in diesem Fall ebenfalls spezifiziert werden. Er könnte lauten: Deaktivierung der elektronischen Parkbremse im Falle eines Faults.
Diesem gemeinsamen Safety Goal wird, entsprechend der Beschreibung, der höhere ASIL des ersten gefahrbringenden Ereignisses (Verlust der Fahrstabilität infolge der ungewollten Aktivierung der elektronischen Parkbremse in der Situation einer hohen Fahrzeuggeschwindigkeit) zugeordnet.
Sind alle Safety Goals formuliert, so werden dann aus diesen im weiteren Verlauf, im Rahmen eines Sicherheitskonzeptes, funktionale Sicherheitsanforderungen zur Vermeidung dieser nicht tolerierbaren Risiken für jedes gefahrbringende Ereignis abgeleitet.
Den Inhalt von Sicherheitskonzepten sowie eventuelle Beispiele von Sicherheitsanforderungen werden wir in der(n) nächsten Ausgabe(n) genauer betrachten.
Die Umsetzung funktionaler Sicherheit erfordert eine systematische Vorgehensweise im gesamten Lebenszyklus eines Produkts oder Systems.
Ist Ihr Produkt safety relevant nach der ISO 26262? Dann sind Sie noch einen Schritt von der erfolgreichen Umsetzung der Norm entfernt.
Unser erfahrenes und zertifiziertes Team, der Melster Consulting GmbH, sieht Sicherheit nicht als eine Option, sondern als eine Verpflichtung an und unterstützt gerne mit der notwendigen Expertise die Entwicklung Ihres Produktes! Erfahren Sie mehr darüber, wie die Melster Consulting GmbH Sie unterstützen kann und kontaktieren Sie uns jederzeit, um ein erstes, individuelles und unverbindliches Beratungsgespräch zu vereinbaren.