1 Problemstellung und Motivation
- Längere „time to market“ funktional sicherer Subsysteme hemmt Innovationsdynamik in der Automobilindustrie: Eine strenge hierarchische Vorgabe auf Systemebene abgeleiteter Sicherheitsziele durch den Original Equipment Manufacturer (OEM) samt Kaskadierung auf die verschiedenen Ebenen der Systemarchitektur ist aus Zeitgründen nicht immer möglich. Zukünftig werden sich die Innovationszyklen in der Automobilindustrie in einem dynamischen Wettbewerbsumfeld weiter verkürzen.
- Fehlende Nutzung von Synergiepotenzialen sprengt das Zielkostengefüge der Fahrzeugplattformen: Eine Umsetzung der im Einzelfall von einem OEM heruntergebrochenen Sicherheitsziele durch die Lieferanten ist für alle Beteiligten der Wertschöpfungskette nicht wirtschaftlich. Für jeden spezifischen Anwendungsfall fallen Aufwände für das Engineering des spezifischen Systems samt der Durchführung der entsprechenden Bestätigungsmaßnahmen an. Dies verteuert die zu integrierenden Zulieferanteile. Hier helfen klare technische Abgrenzungen (Hardware-Software-Interface, HSI der ISO 26262-4) sowie die verbindliche Festlegung von Rollen und Verantwortlichkeiten in einer verteilten Entwicklung (Development Interface Agreement, DIA der ISO 26262-8).
- Unklare Voraussetzungen einer rechtssicheren Typgenehmigung automatisierter Fahrzeugsysteme: Bislang spielen Erfahrungen eine große Rolle in der Entwicklung von Kraftfahrzeugen. Technische Regelwerke (bspw. UN-ECE-Regelungen) dokumentieren diese Erfahrungen. Da beim hochautomatisierten Fahren das Fahrzeug selbsttätig und ohne Einwirkung des Fahrers fährt, sind die bestehenden Normen zur funktional sicheren Entwicklung sicherheitsrelevanter elektronischer Steuerungssysteme im Lichte des deutschen Produkthaftungsgesetzes (ProdHaftG) eine notwendige, aber nicht hinreichende Bedingung. Zukünftig sind für eine rechtssichere Typgenehmigung über die funktionale Sicherheit hinaus weitere Nachweise zu erbringen. Beispiele hierfür ist der Nachweis der Sicherheit der Sollfunktion (Safety of the Intended Functionality, SOTIF nach ISO PAS 21448) sowie der Angriffssicherheit (Automotive Cybersecurity nach ISO/SAE 21434).
2 Generizität von Sicherheitsnachweisen
- Generischer Produktsicherheitsnachweis (unabhängig von der Anwendung): Ein generisches Element kann für unterschiedliche, unabhängige Anwendungen wiederverwendet werden. Ein Beispiel für ein generisches Element ist ein Fahrcomputer (vgl. Controller in Abb. 1). Dieser kann später in der Entwicklung eines Items integriert werden. Ein generisches Element kann also eine Ablaufumgebung für beliebige Anwendungen bereitstellen.
- Generischer Anwendungssicherheitsnachweis (für eine Klasse von Anwendungen): Eine generische Anwendung kann für eine Klasse/Art von Anwendungen mit gemeinsamen Funktionen wiederverwendet werden. Ein Beispiel hierfür wäre eine – unabhängig von einem spezifischen Fahrzeug – entwickelte Assistenzanwendung, welche eine Zusammenführung von Sensorik, Regelfunktion und Aktorik mit dem Zweck der Erbringung einer konkreten Automatisierungsaufgabe (= Regelstrecke) darstellt. Die auf dieser Ebene entwickelte generische Software kann in der nächsten Integrationsstufe durch Daten, Algorithmen oder beides konfiguriert werden, um damit die ausführbare Software für die spezifische Anwendung anzufertigen. Die Ebene des generischen Anwendungssicherheitsnachweises ist in Abb. 1 die Ebene der E/E-Komponente als Verknüpfung von Sensoren, Aktoren und Steuergerät.
- Spezifischer Anwendungssicherheitsnachweis (für eine spezifische Anwendung): Eine spezifische Anwendung wird in einem konkreten Fahrzeug integriert. Es ist wichtig, für jede spezifische. Anwendung zu zeigen, dass die Umgebungsbedingungen und die Randbedingungen (u. a. ASIL-Qualifizierung) der eingesetzten generischen Anwendungen berücksichtigt wurden. Darüber hinaus muss gezeigt werden, dass die anwendungsspezifische Konfiguration korrekt und vollständig durchgeführt worden ist. Der spezifische Anwendungssicherheitsnachweis ist in Abb. 1 das Item also die Ebene des Systems, bzw. System Arrays.
3 Generizität von Sicherheitsnachweisen
- Unterlagerter Sicherheitsnachweis: Das SEooC wird auf der Grundlage von Annahmen entwickelt. Diese Annahmen umfassen die unterstützte Klasse möglicher Anwendungen sowie mögliche Anwendungsbedingungen (u. a. Umweltbedingungen), sowie möglicher externer Schnittstellen des Betrachtungsgegenstands. Im Falle eines Fahrcomputers für automatisierte Fahrzeugsysteme des Level 3 ist der unterlagerte Sicherheitsnachweis ein generischer Produktsicherheitsnachweis. Ein solcher generischer Produktsicherheitsnachweis exportiert an übergeordnete Sicherheitsnachweise „sicherheitsbezogene Anwendungsregeln“. Hierunter fallen die folgenden Aspekte:
- Regeln, Bedingungen und Einschränkungen, die bei der Integration des betrachteten Teilsystems beachtet werden müssen. Dies gilt vor allem bezüglich zu entwickelnder SEooC-externer Sicherheitsmaßnahmen des zu integrierenden Systems.
- Eine Beschreibung der Konfigurationsmöglichkeiten programmierbarer Systeme, um diese an spezielle Anwendungen anzupassen,
- Einzuhaltende Vorsichtsmaßnahmen bei der Herstellung, Installation, Prüfung und Inbetriebnahme sowie Regeln und Methoden für die Instandhaltung und Fehlersuche
- Anweisungen für die Handhabung des Systems sowie sicherheitsrelevante Warnungen und Vorsichtsmaßnahmen.
- Integrierender Sicherheitsnachweis: Zum Zeitpunkt der Integration eines SEooC muss die Gültigkeit der in der Entwicklung des SEooC getroffenen Annahmen bestätigt werden. Dies sind vor allem die Anforderungen hinsichtlich des Anwendungskontexts (beispielsweise Schnittstellen) oder aber Annahmen hinsichtlich der konkreten Umsetzung von Sicherheitsanforderungen. In dieser Hinsicht integriert die Ebene eines generischen Anwendungssicherheitsnachweises mehrere Teilsysteme, die jeweils über generische Produktsicherheitsnachweise die Einhaltung der an sie gestellten Sicherheitsanforderungen dokumentieren. Im Zuge der Integration werden bereits erste „sicherheitsbezogene Anwendungsregeln“ geschlossen. Im Zuge der Integration neu entstehende „sicherheitsbezogene Anwendungsregeln“ werden wiederum über „sicherheitsbezogene Anwendungsregeln“ an die Ebene des spezifischen Anwendungssicherheitsnachweises weitergeleitet und müssen dort behandelt werden.
4 Anforderungen an die Gefährdungsanalyse und Sicherheitsnachweisführung
- Entwurfsunterstützungsfunktion: Der Sicherheitsnachweis muss eine klare Systemgrenze für die Sicherheitsbetrachtung berücksichtigen. Sicherheitsbezogene elektronische Steuerungssysteme für Kraftfahrzeuge müssen im Zusammenwirken verschiedener technischer Komponenten (Sensor, Aktor, Regler in ihrem Zusammenwirken mit der Regelstrecke) beschrieben sein. Gleiches gilt für die Mensch-Maschine-Interaktion welche für automatisierte Fahrzeugsysteme des Level 3 nach wie vor kennzeichnend ist.
- Dokumentationsfunktion: Der Sicherheitsnachweis erfordert ein umfassendes technisches Verständnis des zu entwickelnden Systems. Gleichzeitig ist ein Expertenwissen zu den anwendbaren Regeln der Technik (Normen und Standards) sowie der Anwendung von Sicherheitsmechanismen im Entwurf sicherheitsrelevanter elektronischer Steuerungssysteme für Kraftfahrzeuge erforderlich. Die zentralen Darstellungen im Sicherheitsnachweis müssen daher zentrale entwurfsleitende Annahmen umfassend (d. h. vollständig) dokumentieren.
- Kommunikationsfunktion: Die Darstellung im jeweiligen Sicherheitsnachweis muss für einen Dritten nachvollziehbar sein. Hierfür kommen natürlichsprachliche Darstellungen an die Grenzen ihrer semantischen Ausdrucksfähigkeit. So führen insbesondere sprachliche Mehrdeutigkeiten zu Missverständnissen. Es ist also sinnvoll, im Entwurf und der Nachweisführung semiformale Notationen zu verwenden, um diesen Spielraum unterschiedlicher Deutungen einzuengen [2].
5 Methoden zur Durchführung von Gefährdungsanalyse für generische Produkte
- Entwurfsunterstützungsfunktion: Die konsequente Umsetzung von STAMP/STPA (vgl. [9]) erzwingt eine umfassende gedankliche Auseinandersetzung mit allen für die Entwicklung funktional sicherer Anwendungen für Kraftfahrzeuge relevanten Aspekte.
- Dokumentationsfunktion: Die Ergebnisse der im Entwurf getroffenen Entscheidungen werden dokumentiert. Dies ermöglicht im Falle produkthaftungsrechtlicher Fragestellungen (vgl. hierzu [10]) die Darlegung der Erfüllung einschlägiger Rechtspflichten (Erfüllung der Konstruktionspflicht). Durch eine erfolgreiche Beweislastumkehr können Haftungsrisiken wirksam abgewendet werden.
- Kommunikationsfunktion: Die verwendete semi-formale Notation der Regelstrukturen vereinfacht die Kommunikation. Eine eindeutige Festlegung von Inhalten schafft zum einen ein klares Verständnis in der organisationsübergreifenden Zusammenarbeit in der Automobilindustrie. Zum anderen wird auch entlang des Sicherheitslebenszyklus die Kommunikation zwischen verschiedenen Rollen (u. a. dem Gutachter) vereinfacht.
6 Durchführung einer semi-formale Gefährdungsanalyse eines generischen Produkts
ID | Operating Mode | Comment |
---|---|---|
OM_1 | Vehicle Computer Off | e.g. no power to Vehicle Computer ECU |
OM_2 | Vehicle Computer passive | e.g. On/Standby mode, not having an influence on the driving process |
OM_3 | Vehicle Computer active | e.g. active ADAS/HAD Driving Mode(s) |
OM_4 | Vehicle Computer degraded operation | e.g. fail safe mode |
OM_5 | Vehicle Computer emergency operation | – |
OM_6 | Vehicle Computer service mode | – |
ID | Hazard |
---|---|
HZ_1 | Loss of vehicle lateral motion control |
HZ_2 | Unintended vehicle lateral motion/unintended yaw |
HZ_3 | Insufficient deceleration of vehicle |
HZ_4 | Unintended vehicle longitudinal deceleration |
HZ_5 | Insufficient acceleration of vehicle |
HZ_6 | Unintended acceleration |
ID | System level control action | Unsafe control action (UCA) |
---|---|---|
UCA1.1 | Provide data to the vehicle/driver | Required control action by Vehicle Computer is not provided |
UCA1.2 | Provided control action by Vehicle Computer is wrong | |
UCA1.3 | Provided control action by Vehicle Computer is not required | |
UCA1.4 | Required control action by Vehicle Computer is provided too early/too long/out of order | |
UCA1.5 | Required control action by Vehicle Computer is applied too long | |
UCA1.6 | Required control action by Vehicle Computer is stopped too soon | |
UCA2.1 | Provide data to application software | Required Data by Vehicle Computer to ADAS/HAD Software Application are not provided |
UCA2.2 | Provided Data by Vehicle Computer to ADAS/HAD Software Application are wrong | |
UCA2.3 | Provided Data by Vehicle Computer to ADAS/HAD Software Application are not required | |
UCA2.4 | Required Data by Vehicle Computer to ADAS/HAD Software Application are provided too early/toolate/out of order | |
UCA2.5 | Required Data Transfer by Vehicle Computer to ADAS/HAD Software Application are applied too long | |
UCA2.6 | Required Data Transfer by Vehicle Computer to ADAS/HAD Software Application is stopped too soon | |
UCA3.1 | Operation mode change | Required change of operation mode is not performed |
UCA3.2 | Change to the wrong operation mode is performed | |
UCA3.3 | Performed change of operation mode is not required |
ID | Functional Safety Requirement (FSR) | ASIL SAE L ≤2 | ASIL SAE L ≤3 |
---|---|---|---|
FSR_1 | Data transfer to the vehicle must be ensured | ASIL C | ASIL D |
FSR_2 | Corruption of data transferred to the vehicle must be prevented | ASIL D | ASIL D |
FSR_3 | Timing constraints of data transferred to the vehicle according to specification must be ensured | ASIL D | ASIL D |
FSR_4 | Unintended transfer of data to the vehicle must be prevented | ASIL D | ASIL D |