Muss sich die ISO 26262 weiterentwickeln? Oder: Vorgedacht / weitergedacht

Die Norm zur Funktionalen Sicherheit ISO 26262, Stand 2018 beschäftigt sich hauptsächlich mit Steuergeräten, die als einzelne Einheiten in Fahrzeugen verbaut sind, die von einem Menschen gelenkt und bedient werden. Diese Steuergeräte tauschen Informationen innerhalb des Fahrzeugs aus, in dem sie verbaut sind. Diese Situation wird sich in den kommenden Jahren und Jahrzehnten vollkommen verändern. Die Entwicklung wird in Richtung weniger zentraler Steuergeräte gehen, die vielfältige Aufgaben in einer Einheit zusammenfassen und sich darüber hinaus auch mit Steuergeräten in anderen Fahrzeugen austauschen (car2car-Kommunikation). Außerdem wird der menschliche Fahrer in Zukunft immer mehr an Bedeutung verlieren.

30.10.2020
Dipl.-Ing. Jörg Schacht

Daher muss sich auch die Norm in ihren verschiedenen Facetten dieser Entwicklung anpassen. An dieser Stelle soll es jetzt zunächst einmal um die Einstufung des Risikos in Form der HARA (Hazard Analysis and Risk Assessment) oder im Deutschen G&R (Gefahren und Risikoanalyse) gehen.
Zurzeit werden in der HARA drei verschiedene Summanden bestimmt, zusammengezählt und aus den zusammengezählten Punkten ergibt sich die ASIL Einstufung. Dabei handelt es sich um:

  • Severity (wie stark wird ein Mensch verletzt oder sogar getötet) S0 bis S3
  • Exposure (wie lange (duration) bzw. wie häufig (frequency) ist das Fahrzeug einer bestimmten Betriebssituation ausgesetzt) E0 bis E4
  • Controllability (wie gut ist die Gefahrensituation durch den Menschen (meistens der Fahrer aber auch andere Verkehrsteilnehmer) zu beherrschen) C0 bis C3

Bei Fahrzeugen ohne Fahrer (Roboter-Taxis) wird die Controllability weitestgehend bei C3 verharren, da ein menschlicher Eingriff nicht geplant ist. Sie wird maximal durch andere beteiligte Verkehrsteilnehmer noch beeinflussbar sein wie Fußgänger und Fahrradfahrer.
Diese Situation wird dann dazu führen, dass in alltäglichen Fahrsituationen (Stadt / Landstraße / Autobahn => E4) das Ergebnis sehr stark von der Geschwindigkeit der Fahrzeuge abhängen wird. Ab einer Geschwindigkeit von 16 km/h bei einem Seitenaufprall und ab einer Geschwindigkeit von 40 km/h bei einem Frontal- bzw. Heckaufprall muss schon mit Toten gerechnet werden. 
Daher wird es zu stark vermehrten Einstufungen mit ASIL D kommen. Man kann auch von einer Nivellierung auf hohem Niveau sprechen.

Ob das für zukünftige Entwicklungen zielführend ist, wagen wir zu bezweifeln. Doch was könnte man machen, um die Situation / die Ergebnisse wieder zu entzerren?

Vorschlag A) 
In die Betrachtung der Gesamtsituation wird im Rahmen der Controllability auch mit einbezogen, dass sich zukünftige Fahrzeuge gegenseitig mit Informationen versorgen können. So könnte zum Beispiel eine plötzliche Erhöhung des Schlupfes an den Antriebsrädern darauf hindeuten, dass zum Beispiel Glatteis aufgetreten ist. Diese Information könnte von den Fahrzeugen im Umfeld dazu verwendet werden, die Geschwindigkeit zu reduzieren und so die Gefahr eines Unfalls zu minimieren. Ebenso wäre die Auslösung eines Crash-Sensors der Hinweis darauf, dass gerade ein Unfall passiert ist und die Straße sehr wahrscheinlich nicht mehr normal zu befahren ist.
Das würde allerdings bedeuten, dass in einem Summanden sowohl die menschliche Reaktionsmöglichkeit als auch die automatisierte Reaktionsmöglichkeit zusammengefasst wird. So könnte man dann nicht mehr sauber zwischen Menschen und Maschine unterscheiden. Vorteil wäre, dass es bei den drei Summanden bleibt und es auch bei den ASIL-Klassifizierungen bleiben kann.

Vorschlag B)
Es wird ein weiterer Summand eingeführt. Als Arbeitsvorschlag nennen wir ihn einfach „Connectivity“. Dieser Summand beschreibt, wie schnell und wie weit eine Information von einem anderen Fahrzeug in das Fahrverhalten (Geschwindigkeit) des betroffenen Fahrzeugs eingreifen kann. Diese Eingriffsmöglichkeit könnte zum Beispiel wie folgt definiert werden:

  • Con0: Fahrzeug kann auf 0 km/h abgebremst werden
  • Con1: Fahrzeug kann auf unter 16 km/h abgebremst werden
  • Con2: Fahrzeug kann auf unter 40 km/h abgebremst werden
  • Con3: Fahrzeug kann auf unter 60 km/h abgebremst werden
  • Con4: Fahrzeug kann nicht auf unter 60 km/h abgebremst werden

Mit dem Zusatz, dass aus Controllability und Connectivity maximal 5 Punkte zu Buche schlagen, wäre dann das Maximum der Gefahrenpunkte von 10 auf 12 angewachsen. Daraus würde sich dann ergeben, dass wir die bisherige ASIL-Klassifizierung um die Werte ASIL E und ASIL F erweitern müssten.
Wenn man wirklich die Skala gegenüber dem aktuellen Stand erweitern will und dabei die bisherigen Einstufungen nicht ändern will, muss man sich sehr genau die zusätzlichen Maßnahmen überlegen.

ASIL E:   Zulässige FIT-Rate 5 FIT

ASIL F:   Zulässige FIT-Rate 1 FIT

Die andere Alternative wäre, dass die bisherigen maximalen Anforderungen nicht mehr der Klassifizierung ASIL D zugewiesen werden, sondern der neuen Klassifizierung ASIL F. Das hätte zur Folge, dass die Zwischenschritten (A bis E) neu definiert werden müssten.

ACHTUNG: Zusammenstellung der Laufzeiten in Excel beachten.

JA! Dazu muss es dann aber noch weitere Maßnahmen geben, die die Sicherheit neben den bisherigen Maßnahmen beeinflussen können. Ein möglicher Faktor wäre die Auswertung von Informationen von umliegenden Fahrzeugen (car2car-Kommunikation). Daraus könnte auch wieder ein zusätzlicher Summand gebildet werden. So könnte man entweder über die Controllability oder die Connectivity Punkte sammeln, um eine erweiterte ASIL-Einstufung vorzunehmen.

Wir schlagen zum Beispiel die Einführung von einem ASIL E und einem ASIL F vor!
Da es sich ja um eine Addition der Maßnahmen handelt könnten wir uns vorstellen, dass es auch andersartige Überwachungs-Maßnahmen (Supervisor) geben könnte!