Die Letztentscheidung bleibt beim Fahrer
Archivmeldung Austrian Standards
Bitte beachten Sie, dass Normen, Inhalte oder Links möglicherweise nicht mehr aktuell sind. Im Zweifelsfall oder bei Fragen wenden Sie sich an die Pressestelle.
In modernen Autos übernimmt die Bordelektronik zunehmend mehr Verantwortung. Die Qualitäts- und Sicherheitsstandards dafür definiert die soeben erschienene Internationale Norm ISO 26262.
Wien (AS prm, 2011-11-15)
Beim Genfer Automobilsalon 2011 spielten sich gespenstische Szenen ab. Ein adaptierter Audi TTS fand seinen Weg zentimetergenau auf die Bühne – gänzlich ohne Fahrer.
Und im September des Vorjahrs absolvierte ein Prototyp desselben Wagens – ebenfalls im Alleingang – erfolgreich die legendäre, 20 km lange Pikes-Peak-Strecke in den Rocky Mountains.
Beide Fahrzeuge waren vollgepackt mit komplexer Steuerungselektronik, die dereinst in Serienfahrzeugen für zusätzliche Sicherheit sorgen soll.
Für den Markenleiter von Audi in Österreich zeigt sich damit, dass ein Auto auch ohne Fahrer sichere Manöver ausführen kann. Richard Mieling: „Das heißt nicht, dass wir auf den Fahrer verzichten wollen. Im Mittelpunkt steht vielmehr eine umfassende Prüfung der Fahrerassistenz-Technologien von heute und morgen, um das Fahrerlebnis und die Fahrzeugsicherheit noch weiter zu verbessern“.
Derlei elektronische Innovationen werden gegenwärtig in den Entwicklungsabteilungen der Fahrzeugindustrie rund um den Globus ersonnen und getestet. Der oben erwähnte Versuch zeigt, dass Fahrerassistenzsysteme selbsttätig Entscheidungen treffen können. In Serienautos verbleibt die Letztentscheidung aber immer noch dem Fahrer. Die Systeme sollen lediglich das sichere und bequeme Fahren unterstützen.
Dafür, dass diese Neuerungen beim künftigen Einsatz in Serienfahrzeugen auch tatsächlich maximale Sicherheit bieten, sorgt die Internationale Norm ISO 26262 „Road vehicles – Functional safety“, deren Teile 1 bis 9 am 15. November 2011 publiziert wurden. Teil 10 mit Anwendungsrichtlinien ist noch in Arbeit.
Mit der Komplexität steigt die Fehleranfälligkeit
Wie sich am Beispiel des eingangs erwähnten selbstfahrenden Prototyps zeigt, nimmt die Komplexität elektronischer Komponenten in Fahrzeugen ständig zu. Damit steigt aber auch die Möglichkeit von Fehlfunktionen. Wäre davon eine sicherheitsrelevante Komponente betroffen, könnten schlimmstenfalls Menschen zu Schaden kommen. Würde etwa das Steuergerät des elektronischen Stabilitätsprogramms ESP bei normaler Fahrt eine Vollbremsung auslösen, könnte das zu einer Massenkarambolage mit zahlreichen Verletzten führen.
Um derartige Risiken gering zu halten, wurde unter Einbeziehung maßgeblicher Automobilhersteller, Zulieferer und Prüfinstitute die Norm ISO 26262 entwickelt. In Zukunft werden sicherheitsrelevante Systeme bzw. Komponenten anhand dieser neuen Norm entwickelt werden.
Bislang orientierte sich die Entwicklung an der IEC bzw. ÖVE/ÖNORM EN 61508 „Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme“. Dieser allgemeine Standard ist aber für die Anwendung in modernen Fahrzeugen zu unspezifisch, weshalb beschlossen wurde, eine neue Norm zu entwickeln.
Teil 1 widmet sich dem Fachvokabular und den verwendeten Abkürzungen, Teil 2 definiert die geforderten Managementtätigkeiten während der verschiedenen Lebenszyklusphasen eines Sicherheitssystems, das elektrische/elektronische (E/E) Subsysteme beinhaltet.
Zusätzlich benennt Teil 2 die organisatorischen Voraussetzungen, die zu erfüllen sind, um das System entsprechend dem geforderten Automotive Safety Integrity Level (ASIL) entwickeln zu können. Innerhalb des ASIL gibt es die Sicherheitsstufen A bis D, wobei D die höchste Ebene ist.
Gefährdungen analysieren, Risiken abschätzen
Der dritte Teil der ISO 26262 thematisiert die Anforderungen zur Durchführung einer Gefährdungsanalyse und Risikoabschätzung mittels einer festgelegten qualitativen Methodik. Dazu muss für jede einzelne identifizierte Gefährdung die Schwere der Auswirkung, die Häufigkeit der Fahrsituation und die Beherrschbarkeit durch den Fahrer abgeschätzt werden.
Eine vorgegebene Tabelle weist für jede Gefährdung entweder einen sicherheitskritischen ASIL-Wert oder eine nicht sicherheitsrelevante Quality Management (QM)-Einstufung aus. Während sich mit steigendem ASIL auch die Sicherheitsanforderungen erhöhen, erfordern Gefährdungen der Klasse QM nur den Nachweis einer erfolgreich umgesetzten Qualitätsmanagementnorm, etwa ISO 9001.
Sicherheitskonform entwickeln, sicher betreiben
Den Entwicklungsprozessen auf System-, Hardware- und Softwareebene widmen sich die Teile 4 bis 6. Für die einzelnen Abschnitte werden Vorgehensweisen und Arbeitsergebnisse in unterschiedlicher Ausprägung empfohlen. Das prinzipielle Vorgehen beim Erstellen eines Produktions- und Installationsplans für sicherheitsrelevante Systeme regelt Teil 7 der Norm. Darin ist festgehalten, wie Betrieb, Wartung, Reparatur und Stilllegung zu erfolgen haben.
Teil 8 beschäftigt sich mit Verantwortlichkeiten und Spezifikationen in der Entwicklung, mit Konfigurations- und Änderungsmanagement sowie mit Verifikation und Dokumentation. Teil 9 schließlich enthält Regeln, um den ASIL in kleinere, teilweise redundante Elemente aufzuspalten und die sogenannte Kritikalitätsanalyse.
Zudem werden in diesem Teil Analyseverfahren zum Erkennen und Bewerten unterschiedlicher Fehlerklassen erläutert. Der zehnte, noch unveröffentlichte Teil, enthält Anwendungsbeispiele, Erläuterungen und weiterführende Informationen, wie etwa das Verhältnis zur IEC 61508, dem generischen Functional Safety Standard.
„Die zehnteilige ISO 26262 ist ein umfassendes Kompendium zum aktuellen Stand der Wissenschaft und Technik in Bezug auf die funktionale Sicherheit von Straßenfahrzeugen“, so Dipl.-Ing. Erwin Schoitsch vom Austrian Institute of Technology, der Österreich in der für die neue Norm zuständigen Arbeitsgruppe ISO/TC022/SC03/WG 16 vertritt.
„Derzeit beschränkt sich der Gültigkeitsbereich der Norm auf serienmäßig hergestellte Personenfahrzeuge bis dreieinhalb Tonnen. Es ist aber mit der Erweiterung auf weitere Fahrzeugklassen zu rechnen“, so der Experte. Autonome Fahrzeuge wie anfangs beschrieben, werden ausdrücklich nicht angesprochen, diese erfordern weiterhin die Anwendung der IEC 61508.
Mit diesem Regelwerk haben Automobilhersteller, Lieferanten und Prüfinstitute ein Instrumentarium für die zuverlässige Entwicklung und Bewertung sicherheitsrelevanter Systeme bzw. Komponenten zur Hand. Damit wir guten Gewissens weitere sicherheitskritische Aufgaben der Bordelektronik überlassen können. Doch eines wird sich vermutlich auch in Zukunft nicht ändern: Das letzte Wort hat immer noch der Mensch hinter dem Lenkrad. Und das ist wohl auch gut so.
Bibliographie
ISO 26262 Road vehicles – Functional safety; Teil 1 – 10
IEC 61508 bzw. ÖVE/ÖNORM EN 61508 „Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme“
