Suchen

ISO 262620

Sicherheit im Automobil – eine neue Sichtweise

Seite: 2/2

Firmen zum Thema

Halbleiterhersteller können nun keine ICs mehr auf den Markt bringen, die nicht „ASIL-x-zertifiziert“ sind, da ASIL einer Anwendung oder Funktion zugewiesen wird, anstelle einer isolierten Hardwarekomponente oder einem Element. Jeder Anbieter, der gegensätzliches behauptet, nimmt diesen Standard somit nicht ernst. Selbst Behauptungen wie „ASIL-D-bereit“ sind nicht mehr als ein Marketing-Versprechen und somit kein Beweis für ein echtes Verständnis der ISO 26262.

Funktionale Sicherheit bei der Hardwareentwicklung

Die Grundlage des funktionalen Sicherheitskonzepts ist die Schaffung funktionaler Sicherheitsziele. Diese Ziele werden für ein System oder eine „Einheit“ vereinbart und richten sich nach dem ISO-26262-Standard. Für jede Einheit wird eine Gefahren- und Risikoanalyse (HARA; Hazard and Risk Analysis) durchgeführt. Daraus ergibt sich eine Liste möglicher Gefahren, die eine Risikominderung und gefährliche Ereignisse im Zusammenhang mit bestimmten Situationen erfordern.

Die relevanten Kombinationen aus Gefahr und Situation, genannt „Szenarien“, durchlaufen eine weitere Analyse nach Schwere der Gefahr, Gefahrenaussetzung und Kontrollierbarkeit. Die Schwere der Gefahr bewertet den möglichen Schaden eines Szenarios (Grad 0 bis 3). Die Gefahrenaussetzung (Grad 0 bis 4) bewertet die durchschnittliche Aussetzungsrate eines Szenarios. Die Kontrollierbarkeit (Grad 0 bis 3) bewertet die Möglichkeit, einen Schaden in einem Szenario zu vermeiden. Es gibt keine freie Interpretation der verschiedenen Grade, die mit bestimmten quantitativen Kennzahlen in Verbindung stehen. Entwickler sollten sich vom höchsten Wert nach unten durcharbeiten, bis die nächstliegende Beschreibung nicht mehr zutrifft.

Eine Tabelle verbindet die Werte für Schwere der Gefahr, Gefahrenaussetzung und Kontrollierbarkeit mit der ASIL-Bewertung. Sobald ein ASIL für jedes Szenario ermittelt ist, muss als nächstes ein Sicherheitsziel für jedes Szenario definiert werden, zusammen mit einem sicheren Zustand.

Von Zielen und Zuständen zu Sicherheitsanforderungen

Anschließend werden die gesetzten Ziele und Zustände in funktionale Sicherheitsanforderungen übertragen. Nun beginnt der entscheidende Schritt, ein funktionales Sicherheitskonzept zu definieren: die Funktion oder Einheit und die dazugehörigen Sicherheitsmaßnahmen bzw. -mechanismen zur Minderung des Gefahrenrisikos müssen realisiert werden. Stellen mehrere Elemente eine einzige Funktion dar, müssen die Sicherheitsziele und -anforderungen zugeordnet und dann weiter auf jedes einzelne Element heruntergestuft werden.

Der ASIL-Wert bleibt mit der einzelnen Anforderung verbunden und nicht mit dem Element. Ein Element kann daher mehrere Sicherheitsfunktionen und -anforderungen aufweisen, jede mit ihrem eigenen ASIL. Mit einer Untersuchung auf Systemebene kann die Suche nach der optimalen Architektur zu verschiedenen ASILs für die gleiche Funktion führen, die einem Element zugewiesen ist. Was dann als „optimal“ in jedem Fall bezeichnet wird, hängt von den Entwicklervorgaben ab (begrenzte Auswahl an Hardware-Komponenten, begrenzter Platz auf der Leiterplatte, begrenzte Rechenleistung, Einschränkungen bei den Systemkosten etc.).

Beispiel mit Servolenkung und Gaspedal

Ein Beispiel veranschaulicht dieses Vorgehen: Eine elektrische Servolenkung (EPAS; Electrical Power Assisted Steering) und ein Gaspedal werden mit einem magnetischen Positionssensor realisiert. Angenommen, beide Systeme haben eine gründliche Gefahren- und Risikoanalyse (HARA) durchlaufen, die zu einer ASIL-D-Anforderung des dazugehörigen funktionalen Sicherheitsziels führt: „Sicherstellen, dass das Ausgangssignal der Absicht des Fahrers entspricht“. In jedem Fall wird die gleiche Transferfunktion angenommen: bei maximalem Ausgangssignal ist die Drossel weit geöffnet für das Beschleunigungssystem (Einspritzung) oder für maximales Drehmoment bei der Servolenkung. Eine Fehlererkennungszeit von 500 ms für den Sensor-IC reicht aus, eine Störung beim Gaspedal (Beschleunigung) festzustellen. Beim Drehmoment-Sensor der Servolenkung kann dies aber bei hohen Geschwindigkeiten zu erheblichen Sicherheitsproblemen führen. Der IC eignet sich daher nicht für das Servolenkungssystem.

Rolle der Halbleiterhersteller bei funktionaler Sicherheit

Vorausschauende Halbleiterhersteller können auf verschiedene Weise zur Ära der funktionalen Sicherheit auf Systemebene beitragen.

  • Es lassen sich die On-Chip-Diagnose-Funktionen auf den Bausteinen erweitern: Unter-/Überspannungsschutz; zyklische Redundanzprüfungen zu Nachrichten; Hinzufügen von Daten-Redundanz zu Speicherinhalten, um die Fehlertoleranz zu erhöhen; Bereitstellung von Signalketten-Clipping/Clamping-Informationen; Einführung von BISTs (Built-in Self Tests) etc.
  • Es können digitale Protokolle eingeführt werden, z.B. SAE-J2716 (SENT), PSI-5 und SPI. Diese Diagnosen können an den System-Mikrocontroller übertragen werden.
  • Halbleiterhersteller müssen mehr Systemdesign-Flexibilität über ihr erweitertes Produktangebot bieten, einschließlich Dual-Die-Sensoren, die homogene Redundanz in einem Chip bieten.

ISO 26262 sollte ins Bewusstsein des täglichen Tuns übergehen

Die ISO 26262 sollte nicht als regulatorische Last angesehen werden, sondern als Kultur, die jede einzelne Organisationsebene und jede Stufe des Entwicklungsprozesses beeinflusst. Sie sollte ins Bewusstsein unseres täglichen Tuns übergehen.

* Bruno Boury ist Product Line Manager Magnetic Sensing bei Melexis in Belgien.

Artikelfiles und Artikellinks

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 44908840)