Reinbold, F.; Steininger, U.; Ständer, T.; Knüfermann, S.; Becker, U.; Schnieder, E.:
Absicherung der Erprobung teil- und hochautomatisierter Fahrerassistenzsysteme im öffentlichen Straßenverkehr auf Basis der ISO 26262 .
6. Tagung Fahrerassistenz, München, Deutschland, November 2013.
Zur Steigerung von Sicherheit, Komfort und Energieeffizienz im Straßenverkehr wird die Weiterentwicklung von Fahrerassistenzsystemen hin zu teil- und vollautomatisierten Systemen stark vorangetrieben. Aus gesellschaftlichen und rechtlichen Gesichtspunkten ergeben sich dabei jedoch strikte sicherheitstechnische Anforderungen an die funktionale Sicherheit, da der Fahrzeugführer bei der Vollautomatisierung nicht mehr als Rückfallebene zur Verfügung steht. Dieser Beitrag behandelt die praktische Implementierung einer Gefährdungs- und Risikoanalyse (GuR) auf Basis der ISO 26262 in den Entwicklungsprozess von teil- und vollautomatisierten Fahrerassistenzsystemen. Das in der Norm beschriebene generische Vorgehen wird dabei durch einen strukturierten und auf mehreren matrixartig aufgebauten Tabellen basierenden Ansatz konkretisiert. In einem ersten Schritt der GuR werden die relevanten Betriebsszenarien bestimmt, denen das FAS im Betrieb ausgesetzt ist. Jedes Betriebsszenario setzt sich aus dem geplanten Manöver des Ego-Fahrzeugs (Spurwechsel, Geradeausfahrt, Abbiegen, etc.), den statischen Umgebungsbedingungen (Beschilderung, Trassierung, Fahrbahnbegrenzung, etc.), den dynamischen Umgebungsbedingungen (Verkehrsteilnehmer fahrend vor Ego-Fahrzeug, Verkehrsteilnehmer fahrend im parallelem Verkehrsraum vor Ego-Fahrzeug, etc.) und dem Betriebszustand des Fahrzeugs (teil- oder vollautomatisiertes Fahren) zusammen. Durch eine systematische Zusammenfassung ähnlicher Betriebsszenarien zu abdeckenden Clustern wird der Umfang der Betriebsszenarien auf ein handhabbares Maß beschränkt und gleichzeitig die Vollständigkeit der Analyse sichergestellt. Einflussfaktoren wie z. B. Sicht- und Fahrdynamikbeeinflussungen, die auf alle Cluster im gleichen Maße wirken, werden generisch betrachtet. 6. Tagung Fahrerassistenz, 28. - 29. November 2013 in München Die identifizierten Betriebsszenarien werden mit den möglichen Fehlfunktionen des FAS verknüpft und mögliche gefährliche Ereignisse bestimmt. Der Detaillierungsgrad der Fehlfunktionen kann dabei beliebig an das betrachtete FAS angepasst werden, es ist dabei jedoch auf Vollständigkeit zu achten. Jedem gefährliche Ereignis wird anschließend anhand eines festen Regelsatzes ein Automotive Safety Integrity Levels (ASIL) zugeordnet und durch eine Experteneinschätzung bestätigt. Der ASIL ist ein Maß für die Kritikalität eines gefährlichen Ereignisses und legt sicherheitstechnische Anforderungen an die betrachtete Funktion fest. Der Beitrag zeigt unter anderem auf, wie sich die bei der ASIL Einstufung getroffenen Annahmen umfassend dokumentieren lassen. Im letzten Schritt werden basierend auf den gefährlichen Ereignissen Safety Goals (SG) und Functional Safety Requirements (FSR) abgeleitet. Diese legen die sicherheitstechnischen Anforderungen an die zu entwickelnde Hardware, Software und Sicherheitsfunktionen fest. Basierend auf den SG und FSR wird ein funktionales Sicherheitskonzept abgeleitet und an die Entwicklung weitergeleitet. Zur praktischen Umsetzung der GuR wurde ein von TÜV SÜD Automotive und iQST erstelltes Excel-Tool herangezogen und angepasst. Dieses Tool wird in dem Beitrag vorgestellt.