Mit dem heutigen Stand der Technik steht folgendes eindeutig fest: Elektrische, elektronische sowie programmierbare elektronische Systeme (zu kurz: E/E/PE - Systeme) können massive Beiträge zur Verkehrssicherheit und zum Komfort von Fahrzeugen liefern und gleichzeitig Schadstoffemissionen reduzieren.
Das unausweichliche Problem dabei: Durch die stetig zunehmende Leistungsfähigkeit von technischen Geräten und immer feiner werdenden Strukturen steigt die Anzahl sowie Komplexität der Systeme und führt gleichermaßen zu Problemen bei der Hard- und Software.
Was passiert bei einem Fehler oder Ausfall der direkt oder indirekt steuernd eingreifenden E/E/PE – Systeme bzw. was darf bei solch einer Verfehlung nicht passieren?
Verkehrsteilnehmer können bei einem Fehlverhalten gefährdet werden. Doch: die Sicherheit dieser bleibt oberste Priorität!
Und genau an dieser Stelle bindet sich die „Funktionale Sicherheit“ mit dem internationalen Standard ISO 26262 ein. Sofern Komponenten und/oder Systeme und daraus abgeleitet, die Funktionen, die sie ausführen sollen, zur Folge haben, dass angesteuerte Aktoren durch inkorrekte Ausführung zu Gefährdungen im Sinne funktionaler Sicherheit führen können, müssen sie entsprechend des Sicherheitslebenszyklus nach ISO 26262 entwickelt werden. Es erfolgt eine umfassende Analyse, in der das Produktsystem als Ganzes betrachtet und bewertet wird.
Schon in den 80er und 90er Jahren entstanden erste Standardisierungsversuche. Eine erste Veröffentlichung in einer Norm entstand im Jahre 1998 in der IEC 61508 mit dem Namen „Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme“
Aus dieser Norm heraus entwickelte sich für die Automotive Sparte zunächst der 2011 in Kraft getretene und aus zehn Teilen bestehende internationale Standard ISO 26262, welcher nur für PKW bis 3500 kg zul. Gesamtmasse galt. Eine, Ende 2018 veröffentlichte, neue Version der ISO 26262, mit nun insgesamt zwölf Teilen, berücksichtigt nun auch LKWs, Busse, Motorräder und weitere. Somit wurde die Norm auf die Gesamtheit aller Fahrzeuge ausgeweitet.
Die Anwendung der Norm ist nicht verpflichtend, jedoch werden juristische Ansprüche hiervon abgeleitet. Der Fahrzeughersteller haftet für Schäden, wenn mittels anderer und nicht gleichwertiger Methoden entwickelte sicherheitskritische Funktionen Auslöser dafür sind.
Verständlicherweise ergeben sich Fragen, wie:
Um die Thematik zu verstehen und anzuwenden, sind in der Norm wiederkehrend auftauchende Schlüsselwörter zunächst einmal in ihrem Zusammenhang zu verstehen:
Gefahr – Schaden – Risiko - Sicherheit
Eine Gefahr liegt vor, wenn Personen durch fehlerbehaftetes Verhalten eines Systems verletzt werden können.
Ein Schaden entsteht, wenn Personen verletzt werden. Dies reicht von kleinsten Schürfwunden bis hin zu tödlichen Verletzungen.
Das Risiko lässt sich stufenlos unterscheiden, bezieht sich auf den potenziellen Schaden und existiert, wenn das System der Gefahr ausgesetzt ist und der Gefahr somit eine Wahrscheinlichkeit zugesprochen werden kann.
Zum Beispiel: In einer bestimmten Situation erfolgt ein Fehlverhalten eines sicherheitsrelevanten Systems in einem Fahrzeug. Bei hoher Geschwindigkeit des Fahrzeugs kann es zu dramatischen Schäden kommen und das Risiko ist entsprechend hoch. Die selbige Situation mit Schrittgeschwindigkeit führt u.U. möglicherweise zu keinem oder nur geringem Risiko.
Eine Sicherheit liegt dann vor, wenn das entsprechende System frei von nicht tolerierbaren bzw. unakzeptablen Risiken ist.
Funktionale Sicherheit nach der ISO 26262 macht es sich also zum Ziel, dass wenn ein zu entwickelndes System oder eine zu entwickelnde Funktion in irgendeiner Weise sicherheitskritisch eingestuft wird, eine Analyse bzgl. des Risikos vollzogen werden muss und durch den Einsatz automatisierter Sicherheitsmechanismen, Risiken in technischen Systemen minimiert oder aber in einem tolerierbaren Rahmen gehalten werden. Der Abstand aus tolerierbarem Risiko hin zum ermittelten Risiko, was unter der Begrifflichkeit ASIL-Klassifikation geführt wird, stellt die Basis für die Maßnahmen, die bei der Entwicklung berücksichtigt werden müssen. Wenn ein System ausfällt oder sich fehl verhält und der daraus resultierende Schaden gering bleibt, ist das Risiko in erster Linie zwar gering. Ob ein Risiko letzten Endes tolerierbar ist oder nicht definiert sich jedoch aus soziologischen und politischen Normen.
Die Umsetzung funktionaler Sicherheit erfordert eine systematische Vorgehensweise im gesamten Lebenszyklus eines Produkts oder Systems.
Sind Sie von der Thematik betroffen?
Wir, die Melster Consulting, sehen Sicherheit nicht als eine Option, sondern als eine Verpflichtung an und unterstützen gerne mit unserer Expertise den Entwicklungsprozess Ihres Produktes!