VDA 702 - Exposure

Grundlage jedes Projekts mit Inhalten zur Funktionalen Sicherheit in der Automobilindustrie sollte unbedingt eine detaillierte HARA (Hazard Analysis and Risk Assessment) sein. Im Deutschen wird diese Analyse mit G&R benannt, was Gefahren- und Risikoanalyse bedeutet. Dabei werden die drei Summanden Severity (S: Schwere der Fehlerfolgen), Exposure (E: Ausgesetztheit bzw. Dauer oder Häufigkeit der betrachteten Situation) und Controllability (C: Beherrschbarkeit) bestimmt und dann zusammenaddiert, um die ASIL-Einstufung zu ermitteln. Und aus dieser Einstufung ergibt sich dann der Umfang des FuSi-Projektes.

Dabei ist jeweils auf das konkrete Projekt zu referenzieren. Denn es ist zu beachten, dass die zu ermittelnden Werte stark von den Fahrzeugeigenschaften (z.B. Leistungsgewicht, Bereifung) abhängig sein können und sich damit meist von Fahrzeug zu Fahrzeug unterscheiden. So können sich zum Beispiel die Werte von einem schwach motorisierten Kleinwagen, von einem leistungsstarken Sportwagen signifikant unterscheiden. Daher muss eine HARA projektspezifisch erstellt werden und kann nicht globale Gültigkeit für alle Fahrzeuge (Fahrzeugklassen) haben.

Hierbei bedeutet eine höhere ASIL-Einstufung auch einen zum Teil deutlich erhöhten Zeit- und Kostenaufwand in der Entwicklung. Aus unseren über 12-jährigen Erfahrungen haben wir für uns intern folgende, recht plakativen Größenordnungen entwickelt:

• von QM auf ASIL A: ca. 25 % Mehraufwand 
• von ASIL A auf ASIL B: ca. 25 % Mehraufwand 
• von ASIL B auf ASIL C: ca. 50 % Mehraufwand 
• von ASIL C auf ASIL D: ca. 50 % Mehraufwand

Das bedeutet dann in der Zusammenfassung, dass ein ASIL D Projekt gegenüber einem QM Projekt (=100 %) mit etwa 350 % des Aufwands (Zeit / Kosten / Reviews / Dokumentation) verbunden. Daher sollten die zu Grunde liegenden Einstufungen von S, E und C sehr gut überlegt werden.

Ist die Einstufung der Severity noch relativ unkompliziert (S1: leichte / S2: schwere / S3: potenziell tödliche Verletzungen) wird die Controllability schon schwerer (C1: 99 % / C2: 90 % / C3: weniger als 90 % aller betroffenen Personen / Fahrer können die entsprechende Situation beherrschen, ohne dass es zu einem Unfall kommt).

Die schwierigste der drei Einstufungen ist allerdings ganz sicher die Exposure. Das liegt zum einen daran, dass hierbei zwei verschiedene Aspekte bewertet werden können:

1. Duration: Dauer des Auftretens der Fahrsituation (E1: nicht definiert / E2: < 1 % / E3: bis 10 % / E4: über 10 % der durchschnittlichen Betriebszeit des Fahrzeugs) 
2. Frequency: Häufigkeit des Auftretens der Fahrsituation (E1: weniger als 1 x / E2: maximal 10 x / E3: maximal 100 x / E4: mehr als 100 x pro Jahr)

Und zum anderen liegt es daran, dass wir als Durchschnitts-Bürger (und auch als Ingenieure) kaum ein ausreichend realistisches (natürliches) Gefühl zu dieser notwendigen Einschätzung haben.

Daher hatte der VDA schon im Jahr 2015 eine erste Version seiner Empfehlung für die Einordnung der Exposure herausgegeben. Dabei liegen nachfolgende Werte zu Grunde, mit denen die Betriebsdauer eines Fahrzeugs abgeschätzt wird: 

• Betriebszeit: 400 h/a 
• Anzahl Fahrzyklen: 1000/a 
• Durchschnittliche Fahrtdauer: 24 min 
• Laufleistung: 20.000 km/a

Aus diesen Daten ergeben sich zusammen mit den Angaben in der ISO 26262 folgende Werte:

1. Duration: Dauer des Auftretens der Fahrsituation (E1: weniger als 0,4 h / E2: bis 4 h / E3: bis 40 h / E4: über 40 h Betriebsdauer des Fahrzeugs pro Jahr)  
2. Frequency: unverändert (siehe oben)

In der 2. Ausgabe der VDA 702 wird unter anderem auch auf die Ladezyklen von Hybrid- und Elektrofahrzeugen eingegangen. Danach muss die Energiemenge in kWh bestimmt werden, die für das entsprechende Fahrzeug für 20.000 km benötigt wird. Des Weiteren muss berücksichtigt werden, wie häufig an welcher Energiequelle geladen wird. Also zum Beispiel: 220 V (3,6 kW) / 380 V (11 kW oder 22 kW) / Gleichstromladung bzw. Quickcharger (von 50 kW bis zu über 200 kW). Generell schlägt der VDA dafür die Einstufung des E-Wertes im Frequenzbereich (Häufigkeit) vor, konkret E3. Diese Einstufung gründet sich darauf, dass im Durchschnitt nicht jeden Tag geladen wird, jedoch mehr als einmal pro Woche. In Folge erscheinen dadurch weniger als 100 Ladevorgänge pro Jahr nachvollziehbar.

Außerdem hatte der VDA auch schon entsprechende Situationen von Fachleuten der OEMs und der Tier1s bewerten lassen. Daraus resultierten dann spezifische Einschätzungen zu den Situationen: 

• Fahren und Stehen sowie sonstige Betriebssituationen 
• außerdem auch zu den Parametern: Straßenbelag / Wetter / Tageszeit / Geschwindigkeit / Anzahl der Personen im Fahrzeug / etc.

Insgesamt wurden im Jahr 2015 schon ca. 90 Situationen detailliert beschrieben und mit entsprechenden Werten sowohl für die Duration als auch für die Frequency definiert.

Aber jetzt gibt es im Jahr 2023 ein umfassendes Update dieser Situationen und auch der begleitenden Beschreibungen. In diesen neuen Tabellen sind wiederum die Erfahrungen der letzten Jahre eingeflossen und so hat sich jetzt diese Tabelle (es bleibt eine Empfehlung) deutlich erweitert. Mittlerweile werden über 200 Situationen in 15 Kategorien von Situationen genauer beschrieben und auch konkrete Referenzen angegeben, auf welche Quellen sich diese Einschätzungen beziehen.

Dabei wollen wir ein wichtiges Thema nicht unerwähnt lassen: Natürlich müssen nicht in jeder HARA alle diese Situationen besprochen werden. So sind sicherlich unterschiedliche Straßenbeläge und Straßenzustände zu diskutieren, wenn das analysierte Item ein Teil vom Antriebsstrang ist. Geht es aber um die Funktionsweise eines DCDCs zum Leistungstransfer aus dem Hochvoltnetz in das 12 V Netz des Fahrzeugs, dann ist sicherlich der Straßenzustand und der Straßenbelag kein zu berücksichtigendes Kriterium.

Außerdem ergibt sich immer wieder die Frage, kann ich die Einzelwahrscheinlichkeiten von kombinierten Situationen zum Beispiel "Fahren mit Wohnwagen" und "schneebedeckte Straße" miteinander verrechnen? Die Antwort lautet: Solange die Basisaspekte voneinander unabhängig sind, kann der E-Wert für diese Kombination durch Multiplikation der Einzelwahrscheinlichkeiten ermittelt werden. Dazu gibt die VDA 702 folgendes Beispiel:
"Fahren in einer Baustelle (Autobahn) mit baulicher Trennung (E3 entspricht 7 % der Betriebszeit) + Fahren auf reduziertem Reibwert im Bereich μ < 0,8 +/- 0,1 (E3 entspricht 10 % der Betriebszeit) ---> 0,7 % der Betriebszeit entspricht E2". In diesem Falle erfolgt die Berechnung unter Verwendung der konkreten Einzelwahrscheinlichkeiten und nicht derer E-Werte.

Aussagen bezüglich automatisierter Fahrfunktionen werden in der neuen Ausgabe noch nicht getroffen, da dazu noch nicht ausreichend belastbare Daten vorliegen, die Schlussfolgerungen beim Einsatz solcher Funktionen auf die E-Werte-Einstufung zulassen. Es wird aber grundsätzlich angenommen, dass solche Assistenzfunktionen (konservativ geschätzt) zu 100 % aktiviert werden. Daher ergibt sich zum Beispiel für einen Stauassistenten folgendes Szenario: Der Stauassistent darf nur auf der Autobahn bei Staufahrt aktiviert werden. Die Staufahrt auf der Autobahn wird laut VDA 702 mit E3/E3 eingestuft. Zur Bestimmung des E-Wertes für den Stauassistenten wird eine 100 % Aktivierung angenommen, woraus sich eine E-Wert Einstufung mit E3/E3 für Funktionen des Stauassistenten innerhalb der ODD (Operational Design Domain - Betriebsbereich, in denen eine automatisierte Funktion oder ein automatisiertes System ordnungsgemäß funktionieren soll) ergibt.

Auf die Fahrdynamik - Kombinatorik von Längs- und Querbeschleunigungen im Zeitbereich (Anhang A der VDA 702:2023) wird an dieser Stelle nicht weiter eingegangen, denn das wäre ein weiterer, umfänglicher Fachartikel.

Grundsätzlich bleibt es ein schwieriges Thema, die Exposure fachgerecht einzustufen. Lieferanten sollten sich die möglichst konkreten Einschätzungen des OEMs geben lassen, um eine zielgerichtete (angemessene) Entwicklung für das angefragte System zu gewährleisten. Für alle Lieferanten, die dennoch eine eigene HARA anfertigen: eine Vorstellung davon zu haben, welche ASIL-Einstufung sinnvoll erachtet werden kann, hat noch nie geschadet und kann vor unnötig hohen Anforderungen des OEM schützen.

Bei weiteren konkreten Fragen können Sie sich gerne an uns wenden. Hier alle Nuancen der Thematik zu betrachten hätte diesen Artikel gesprengt.

Jörg Schacht
AFSE (Automotive Functional Safety Expert) - seit Januar 2015