Grundlagen der funktionalen Sicherheit

Den Zusammenhang der Begriffe Gefahr – Schaden – Risiko – Sicherheit konnten wir anhand der Definitionen in der letzten Ausgabe miteinander näher durchleuchten. In diesem Beitrag wollen wir nun den Zusammenhang zur ISO 26262 herstellen, den Begriff Risiko nach der Norm aufschlüsseln und die Ergebnisse einer Risikoanalyse verstehen.

In der ISO 26262 wird der Begriff Risiko folgendermaßen aufgeschlüsselt:

  1. Es hängt vom Ausmaß des potenziellen Schadens, dem Schweregrad „S“, ab 
  2. Es hängt von der Dauer oder Häufigkeit der Gefahrenaussetzung, der Eintrittswahrscheinlichkeit „E“, ab

Je höher der Schweregrad und die Eintrittswahrscheinlichkeit der Gefahrenaussetzung, desto höher das Risiko.

Außerdem wird davon ausgegangen, dass der Eintritt einer Gefahrensituation u.U. durch die rechtzeitige Reaktion beteiligter Personen, die sogenannte Kontrollierbarkeit „C“, abgewendet werden kann.

Die Zusammentragung aus der Bewertung der drei Merkmale nach Schweregrad, Eintrittswahrscheinlichkeit und Kontrollierbarkeit führt zum ermittelten Risiko bzw. zur ASIL-Klassifikation (Automotive Safety Integrity Level). 

Es spielt keine Rolle, ob ein möglicher Personenschaden Fahrer, Beifahrer, Fußgänger oder andere Verkehrsbeteiligte betrifft. Je größer der mögliche Schaden sein kann, je häufiger Situationen für solch einen Schaden auftreten können und gleichzeitig je weniger der Fahrer fähig ist, entsprechende Situationen zu kontrollieren, desto größer fällt das Risiko und somit das ASIL aus.

Die Merkmale S, E und C sind in der ISO 26262 in Tabellen zu einem Risiko zusammengefasst. 

Für ihre möglichen Größen sowie ihre entsprechend zugehörigen Bedeutungen gilt folgendes:

S0 – keine Verletzungen

S1 – leichte und geringfügige Verletzungen

S2 – schwere und lebensbedrohliche Verletzungen, jedoch mit Überlebenswahrscheinlichkeit

S3 – lebensbedrohliche und fatale Verletzungen mit nahezu keiner Überlebenschance

E0 – unvorstellbar, kein Eintritt

E1 – sehr unwahrscheinlich, bei großer Mehrheit der Fahrer seltener als einmal pro Jahr

E2 – unwahrscheinlich, bei großer Mehrheit der Fahrer wenige Male im Jahr

E3 – mittlere Wahrscheinlichkeit, beim durchschnittlichen Fahrer monatlich bis häufig

E4 – hohe Wahrscheinlichkeit, durchschnittlich bei fast jeder Fahrt vorkommende Situationen

 

C0 - im Allgemeinen beherrschbar

C1 – einfach beherrschbar

C2 - normalerweise beherrschbar

C3 – schwierig bzw. nicht beherrschbar

Zur Erschließung des ASIL, welche sich in die Stufen „QM (Qualitätsmanagement-Maßnahmen), ASIL-A, ASIL-B, ASIL-C und ASIL-D unterteilen, werden die einzelnen Werte summiert.

R = S + E + C

ASIL-D ergibt sich bei 10 Punkten 

ASIL-C ergibt sich bei 9 Punkten

ASIL-B ergibt sich bei 8 Punkten

ASIL-A ergibt sich bei 7 Punkten

≤ 6 Punkte ergibt QM

Sofern S0 oder C0 in die Bewertung einfließen, entspricht dies automatisch QM. Gibt es keine Wahrscheinlichkeit auf eine Verletzung oder aber ist die Gefahrensituation allgemein beherrschbar, besteht keine Relevanz für funktionale Sicherheit.

In der ISO 26262 werden ausschließlich Gefahren berücksichtigt, die durch das Fehlverhalten von E/E/PE-Systemen (auch durch Wechselwirkungen mit diesen) verursacht werden bzw. (be-) entstehen. Gefahren wie elektrischer Schlag, Feuer, Rauchentwicklung, Hitze, Strahlung, Vergiftung, Brennbarkeit, chemische Reaktionen, Rost, Energiefreisetzung o.ä. werden nicht berücksichtigt, wenn sie nicht aus der Folge des Fehlverhaltens entstehen.

Die ISO 26262 verwendet die ASIL-Klassifikation als Grundlage und gibt für das betrachtete Item, je nach Höhe des Levels, entsprechende ASIL-abhängige Anforderungen sowie zu berücksichtigende und empfohlene Prozesse und Risikominderungsmaßnahmen an die Entwicklung des jeweiligen Systems vor. Für das Ergebnis QM gilt, dass die Maßnahmen in einem normalen Qualitätsmanagement-System, d.h. die ohnehin geltenden Standards, ausreichend sind. 

Als Item werden die Definition und die Beschreibung des betrachteten Systems und der Systemgrenzen samt Abhängigkeiten und Wechselwirkungen mit der Umgebung und anderen Items bezeichnet. Das Item wird zu Beginn in der Item Definition festgehalten.

Um in einem ASIL zu resultieren und damit einzelne Bewertungen für Schweregrad, Eintrittshäufigkeit und Kontrollierbarkeit vornehmen zu können, wird in der Norm die Verwendung einer HARA (Hazard Analysis and Risk Assessment) empfohlen. Sie hat das Ziel die durch die Fehlfunktionen des Items ausgehenden Gefahren zu identifizieren und zu kategorisieren. Weiterführend zielt eine HARA auch darauf ab Safety Goals (Sicherheitsziele) zur Vermeidung oder Abminderung von Gefährdungsereignissen zu formulieren, um untolerierbare Risiken auszuschließen. 

Die Erstellung einer HARA kann je nach Komplexität des betrachteten Items, ggf. vorliegenden spezifischen Anforderungen als auch von den verfügbaren Ressourcen abhängen und daher in der Dauer variieren. 

Melster Consulting - Ihr Partner bei der Umsetzung der funktionalen Sicherheit

Die Gesamtexpertise unseres Teams der Melster Consulting reicht bis vor die Zeit der Veröffentlichung der ISO 26262. Gerne unterstützen wir Sie mit unserem Fachwissen im Entwicklungsprozess Ihres Produktes!