Den Zusammenhang der Begriffe Gefahr – Schaden – Risiko – Sicherheit konnten wir anhand der Definitionen in der letzten Ausgabe miteinander näher durchleuchten. In diesem Beitrag wollen wir nun den Zusammenhang zur ISO 26262 herstellen, den Begriff Risiko nach der Norm aufschlüsseln und die Ergebnisse einer Risikoanalyse verstehen.
In der ISO 26262 wird der Begriff Risiko folgendermaßen aufgeschlüsselt:
Je höher der Schweregrad und die Eintrittswahrscheinlichkeit der Gefahrenaussetzung, desto höher das Risiko.
Außerdem wird davon ausgegangen, dass der Eintritt einer Gefahrensituation u.U. durch die rechtzeitige Reaktion beteiligter Personen, die sogenannte Kontrollierbarkeit „C“, abgewendet werden kann.
Die Zusammentragung aus der Bewertung der drei Merkmale nach Schweregrad, Eintrittswahrscheinlichkeit und Kontrollierbarkeit führt zum ermitteltenRisiko bzw. zur ASIL-Klassifikation (Automotive Safety Integrity Level).
Es spielt keine Rolle, ob ein möglicher Personenschaden Fahrer, Beifahrer, Fußgänger oder andere Verkehrsbeteiligte betrifft. Je größer der mögliche Schaden sein kann, je häufiger Situationen für solch einen Schaden auftreten können und gleichzeitig je weniger der Fahrer fähig ist, entsprechende Situationen zu kontrollieren, desto größer fällt das Risiko und somit das ASIL aus.
Die Merkmale S, E und C sind in der ISO 26262 in Tabellen zu einem Risiko zusammengefasst.
Für ihre möglichen Größen sowie ihre entsprechend zugehörigen Bedeutungen gilt folgendes:
S0 – keine Verletzungen
S1 – leichte und geringfügige Verletzungen
S2 – schwere und lebensbedrohliche Verletzungen, jedoch mit Überlebenswahrscheinlichkeit
S3 – lebensbedrohliche und fatale Verletzungen mit nahezu keiner Überlebenschance
E0 – unvorstellbar, kein Eintritt
E1 – sehr unwahrscheinlich, bei großer Mehrheit der Fahrer seltener als einmal pro Jahr
E2 – unwahrscheinlich, bei großer Mehrheit der Fahrer wenige Male im Jahr
E3 – mittlere Wahrscheinlichkeit, beim durchschnittlichen Fahrer monatlich bis häufig
E4 – hohe Wahrscheinlichkeit, durchschnittlich bei fast jeder Fahrt vorkommende Situationen
C0 - im Allgemeinen beherrschbar
C1 – einfach beherrschbar
C2 - normalerweise beherrschbar
C3 – schwierig bzw. nicht beherrschbar
Zur Erschließung des ASIL, welche sich in die Stufen „QM (Qualitätsmanagement-Maßnahmen), ASIL-A, ASIL-B, ASIL-C und ASIL-D unterteilen, werden die einzelnen Werte summiert.
R = S + E + C
ASIL-D ergibt sich bei 10 Punkten
ASIL-C ergibt sich bei 9 Punkten
ASIL-B ergibt sich bei 8 Punkten
ASIL-A ergibt sich bei 7 Punkten
≤ 6 Punkte ergibt QM
Sofern S0 oder C0 in die Bewertung einfließen, entspricht dies automatisch QM. Gibt es keine Wahrscheinlichkeit auf eine Verletzung oder aber ist die Gefahrensituation allgemein beherrschbar, besteht keine Relevanz für funktionale Sicherheit.
In der ISO 26262 werden ausschließlich Gefahren berücksichtigt, die durch das Fehlverhalten von E/E/PE-Systemen (auch durch Wechselwirkungen mit diesen) verursacht werden bzw. (be-) entstehen. Gefahren wie elektrischer Schlag, Feuer, Rauchentwicklung, Hitze, Strahlung, Vergiftung, Brennbarkeit, chemische Reaktionen, Rost, Energiefreisetzung o.ä. werden nicht berücksichtigt, wenn sie nicht aus der Folge des Fehlverhaltens entstehen.
Die ISO 26262 verwendet die ASIL-Klassifikation als Grundlage und gibt für das betrachtete Item, je nach Höhe des Levels, entsprechende ASIL-abhängige Anforderungen sowie zu berücksichtigende und empfohlene Prozesse und Risikominderungsmaßnahmen an die Entwicklung des jeweiligen Systems vor. Für das Ergebnis QM gilt, dass die Maßnahmen in einem normalen Qualitätsmanagement-System, d.h. die ohnehin geltenden Standards, ausreichend sind.
Als Item werden die Definition und die Beschreibung des betrachteten Systems und der Systemgrenzen samt Abhängigkeiten und Wechselwirkungen mit der Umgebung und anderen Items bezeichnet. Das Item wird zu Beginn in der Item Definition festgehalten.
Um in einem ASIL zu resultieren und damit einzelne Bewertungen für Schweregrad, Eintrittshäufigkeit und Kontrollierbarkeit vornehmen zu können, wird in der Norm die Verwendung einer HARA (Hazard Analysis and Risk Assessment) empfohlen. Sie hat das Ziel die durch die Fehlfunktionen des Items ausgehenden Gefahren zu identifizieren und zu kategorisieren. Weiterführend zielt eine HARA auch darauf ab Safety Goals (Sicherheitsziele) zur Vermeidung oder Abminderung von Gefährdungsereignissen zu formulieren, um untolerierbare Risiken auszuschließen.
Die Erstellung einer HARA kann je nach Komplexität des betrachteten Items, ggf. vorliegenden spezifischen Anforderungen als auch von den verfügbaren Ressourcen abhängen und daher in der Dauer variieren.
Die Gesamtexpertise unseres Teams der Melster Consulting reicht bis vor die Zeit der Veröffentlichung der ISO 26262. Gerne unterstützen wir Sie mit unserem Fachwissen im Entwicklungsprozess Ihres Produktes!