Sicherheitsrelevante Verfügbarkeit bei warm-redundanten E/E-Systemen

Abstract

Die Automobilindustrie befindet sich zur Zeit im Wandel durch die zunehmende Elektrifizierung und das automatisierte sowie vernetzte Fahren. Dadurch werden immer komplexere Funktionen und damit neue elektrische und/oder elektronische (E/E-) Systeme im Fahrzeug notwendig. In diesem Zuge gewinnt die funktionale Sicherheit vermehrt an Bedeutung, wofür in der Automobilindustrie die Normenserie ISO 26262 maßgebend ist. Während bei früheren Fahrzeugfunktionen, z. B. Fahrerassistenzsystemen, ein sicherer Zustand im Fehlerfall durch Deaktivieren, d. h. die Nichtverfügbarkeit, der entsprechenden Funktion und beteiligten E/E-Systeme erreicht wurde - fail-passive - wird für die Erfüllung moderner Fahrzeugfunktionen, z. B. dem automatisierten Fahren, die Verfügbarkeit der beteiligten E/E-Systeme sicherheitsrelevant - dies wird als „sicherheitsrelevante Verfügbarkeit“ bezeichnet. Das führt zu neuen Herausforderungen an die funktionale Sicherheit, da diese hierdurch mit der Verfügbarkeit einhergehen muss, d. h. aktuelle fail-passive Ansätze sind nicht mehr ausreichend. Im Rahmen dieser Arbeit wird eine Methodik bzw. ein Rahmenkonzept für den Umgang mit sicherheitsrelevanten Verfügbarkeitsanforderungen vorgestellt, wobei der Fokus auf warm-redundanten E/E-Systemen liegt - von der Anforderungsspezifikation bis hin zur Verifizierung und Validierung. Hierfür wird zunächst der Begriff „sicherheitsrelevante Verfügbarkeit“ in den Kontext gängiger Begrifflichkeiten, wie z. B. fail-safe oder fail-operational, gesetzt und die Auswirkungen solcher Anforderungen auf die zu entwickelnden E/E-Systeme werden untersucht. Zur Erfüllung einer sicherheitsrelevanten Verfügbarkeitsanforderung werden im Rahmen der Anforderungsableitung - im linken Teil des V-Modells - Maßnahmen zur Fehlervermeidung, Fehlervorhersage und/oder Fehlertoleranz spezifiziert, d. h. relevante Funktionen müssen hinreichend robust oder fehlertolerant ausgelegt sein. Dabei gewinnt besonders das Energiebordnetz an Bedeutung, da eine sichere, verfügbare und stabile Energieversorgung die Basis unterschiedlichster E/E-Systeme bzw. Fahrzeugfunktionen bildet. Im Falle von Fehlertoleranzmaßnahmen bzw. Redundanzen zur Erfüllung einer sicherheitsrelevanten Verfügbarkeitsanforderung befindet sich das Fahrzeug nach Verlust der Redundanz in der Regel in einem Notbetrieb. Das aktuell in der ISO 26262 bereitgestellte Konzept zur Erreichung eines funktional-sicheren Notbetriebs bezieht sich nur auf kalte Redundanz, das Energiebordnetz stellt häufig jedoch eine warme Redundanz dar. Zur Erreichung eines funktional-sicheren Notbetriebs ist es zwingend erforderlich, dass ein sicherer Zustand erreicht wird, bevor ein weiterer Fehler zum Ausfall des Backups bzw. redundanten Elements führt. Um diese Lücke zu schließen, wird ein ganzheitliches Konzept für einen funktional-sicheren Notbetrieb vorgestellt, das sowohl für kalt- als auch warm-redundante E/E-Systeme anwendbar ist. Zur Verifizierung und Validierung - im rechten Teil des V- Modells - ist abschließend das nicht zu vermeidende, verbleibende Restrisiko der Verletzung der sicherheitsrelevanten Verfügbarkeitsanforderung quantitativ zu bewerten. Dies ist v. a. bei hohen Sicherheitsintegritäten relevant. Hierfür wird eine Berechnungsmethodik für komplexe Fehlerkombinationen vorgestellt, die den Einfluss implementierter Sicherheitsmaßnahmen zur Erfüllung einer sicherheitsrelevanten Verfügbarkeitsanforderung, d. h. Maßnahmen zur Fehlervermeidung, Fehlervorhersage und Fehlertoleranz, realitätsnah widerspiegelt und im Falle von Fehlertoleranz auch die Dauer des Notbetriebs berücksichtigt, z. B. nach Verlust der Redundanz - sofern relevant.