10-entwicklungsprozess-und-funktionale-sicherheit-vorlesung

Vorlesungsübersicht 01 Einführung 28.04.2022 – Prof. Lienkamp 01 Einführung 28.04.2022 – Prof. Lienkamp 01 Übung Einführung 28.04.2022 – Hoffmann 02 Sensorik / Wahrnehmung I 05.05.2022 – Prof. Lienkamp 02 Sensorik / Wahrnehmung I 05.05.2022 – Prof. Lienkamp 02 Sensorik / Wahrnehmung I 05.05.2022 – Prof. Lienkamp 03 Sensorik / Wahrnehmung II 12.05.2022 – Dr.-Ing. Diermeyer 03 Sensorik / Wahrnehmung II 12.05.2022 – Dr.-Ing. Diermeyer 03 Übung Sensorik / Wahrnehmung II 12.05.2022 – Schimpe 04 Sensorik / Wahrnehmung III 19.05.2022 – Schimpe 04 Sensorik / Wahrnehmung III 19.05.2022 – Schimpe 04 Übung Sensorik / Wahrnehmung III 19.05.2022 – Schimpe 05 Funktionslogik / Regelung 02.06.2022 – Dr.-Ing. Winkler 05 Funktionslogik / Regelung 02.06.2022 – Dr.-Ing. Winkler 05 Funktionslogik / Regelung 02.06.2022 – Dr.-Ing. Winkler 06 Übung Funktionslogik / Regelung 09.06.2022 – Dr.-Ing. Winkler 06 Funktionale Systemarchitektur 09.06.2022 – Prof. Lienkamp 06 Aktorik 09.06.2022 – Prof. Lienkamp 07 Deep Learning 23.06.2022 – Majstorovic 07 Deep Learning 23.06.2022 – Majstorovic 07 Übung Deep Learning 23.06.2022 – Majstorovic 08 MMI 30.06.2022 – Prof. Bengler 08 MMI 30.06.2022 – Prof. Bengler 08 MMI Übung 30.06.2022 – Prof. Bengler 09 Controllability 07.07.2022 – Prof. Bengler 09 Controllability 07.07.2022 – Prof. Bengler 09 Übung Controllability 07.07.2022 – Winkle 10 Entwicklungsprozess 14.07.2022 – Dr.-Ing. Diermeyer 10 Entwicklungsprozess 14.07.2022 – Dr.-Ing. Diermeyer 10 Übung Entwicklungsprozess 14.07.2022 – Hoffmann 11 Analyse und Bewertung FAS 21.07.2022 – Dr.-Ing. Feig 11 Analyse und Bewertung FAS 21.07.2022 – Dr.-Ing. Feig 11 Übung Analyse und Bewertung FAS 21.07.2022 – Dr.-Ing. Feig 12 Aktuelle und künftige Systeme 28.07.2022 – Prof. Lienkamp 12 Aktuelle und künftige Systeme 28.07.2022 – Prof. Lienkamp 12 Aktuelle und künftige Systeme 28.07.2022 – Prof. Lienkamp Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

Agenda Entwicklungsprozess und Funktionale Sicherheit Dr.-Ing Frank Diermeyer (Simon Hoffmann, M.Sc.) 10 Entwicklungsprozess und funktionale Sicherheit 10.1 Entwicklungsprozess 10.1.1 Systematische Konzeptentwicklung 10.1.2 Beispiel ANB 10.2 Funktionale Sicherheit Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Systematischer Entwurf Maurer, TUBS 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.1 Systematische Konzeptentwicklung Human Factors Motivation: Kundennutzen Funktionsdefinition Produktsicherheit Markt Technische Machbarkeit → Zwischenergebnis 8 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

Agenda Entwicklungsprozess und Funktionale Sicherheit Dr.-Ing Frank Diermeyer (Simon Hoffmann, M.Sc.) 10 Entwicklungsprozess und funktionale Sicherheit 10.1 Entwicklungsprozess 10.1.1 Systematische Konzeptentwicklung 10.1.2 Beispiel ANB 10.2 Funktionale Sicherheit Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Theoretisches Potential von ANB Kopischke 2000 0 10 20 30 40 50 60 1 2 3 4 5 6 Anteil an Unfällen mit Verzögerungen zwischen 0-3 m/s² in % Verletzungsschwere in MAIS Bremsverzögerung bei Unfällen mit unterschiedlicher Verletzungsschwere ohne ANB 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB 14 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° Auswahl geeigneter Sensorik, Aktorik und Steuergeräte ° Grenzen der Komponenten Technische Machbarkeit Radar-Objekte Motivation: Unfallschwereminderung Funktionsdefinition Sicherheitskonzept Produktsicherheit Technische Machbarkeit Package Validierung in Versuchsfahrzeugen Systemarchitektur → Produkt: Lastenheft → Unfälle im Längsverkehr Human Factors Markt Maurer, TUBS 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB 17 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Verhalten an Systemgrenzen Human Factors Emotionen bei Fehlauslösung 0 5 10 15 minimale Reaktion neugierig, aufmerksam überrascht, erstaunt erschrocken, Tunnelblick angstvoll, panisch Kategorien Häufigkeiten angstvoll, panisch Färber 2003 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB 20 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° Welche Erwartungen hat der Kunde an das System? ² Vermarktung/ Werbung vs. Systemauslegung ² Häufig auch unpräzise Berichterstattung ° Was wird dem Nutzer über das HMI vermittelt? ² Systemverständnis ² Vermeidung von Missbrauch ° Bsp.: Tesla Autopilot 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB Nutzertransparenz Human Factors futurezone.at 21 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° Entwicklung einer Vermarktungsstrategie ° Abschätzen der Marktchancen ° markenspezifische Funktionsdefinition? ° Zielpreis vor Kunde? ° nutzertransparente Funktion (Vermarktbarkeit) ° Zielkonflikt: Funktionalität versus Zeitpunkt der Markteinführung ° Zielkonflikt: Funktionalität versus Preis Markt Motivation: Unfallschwereminderung Funktionsdefinition Sicherheitskonzept Produktsicherheit Technische Machbarkeit Package Validierung in Versuchsfahrzeugen Systemarchitektur → Produkt: Lastenheft → Unfälle im Längsverkehr Human Factors Markt Maurer, TUBS 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB 22 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° quantitative Prognose über Nutzen des Systems aufgrund von Unfalldatenbanken ° Bewertung unterschiedlicher Systemausprägungen (mögliche Varianten): ² mit oder ohne visuelle Klassifikation ² unterschiedliche Erfassungsbereich ² unterschiedliche Bremssysteme ± Wird in Kapitel 11 ausführlich behandelt 2. Iteration Nutzenanalyse Maurer, TUBS Motivation: Unfallschwereminderung Funktionsdefinition Sicherheitskonzept Produktsicherheit Technische Machbarkeit Package Validierung in Versuchsfahrzeugen Systemarchitektur → Produkt: Lastenheft → Unfälle im Längsverkehr Human Factors Markt 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB 23 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Theoretisches Potenzial von ANB nach Kopischke 2000 0 20 40 60 1 2 3 4 5 6 Anteil an Unfällen mit Verzögerungen zwischen 0-3 m/s² in % Verletzungsschwere in MAIS Bremsverzögernung bei Unfällen mit unterschiedlicher Verletzungsschwere ohne ANB 0 5 10 15 20 25 30 35 1 2 3 4 5 6 Reduzierung der Verletzungsanzahl in % Verletzungsschwere in MAIS Potenzial zur Minderung der Verletzungsschwere mit ANB 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB 24 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Einfluss der Totzeit Kopischke 2000 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB 25 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° Auswahl geeigneter Sensorik, Aktorik und Steuergeräte ° Auswahl geeigneter Wahrnehmungsalgorithmen Technische Machbarkeit Maurer, TUBS Motivation: Unfallschwereminderung Funktionsdefinition Sicherheitskonzept Produktsicherheit Technische Machbarkeit Package Validierung in Versuchsfahrzeugen Systemarchitektur → Produkt: Lastenheft → Unfälle im Längsverkehr Human Factors Markt 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB 26 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Technische Machbarkeit: Aktorik Hydraulische Bremsanlage Elektro-Hydraulische Bremsanlage (EHB) Brake-by-Wire (EMB) Wörsdörfer 2000 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB 27 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Technische Machbarkeit: Sensorik 150 m 40 m EGO Videosystem Stecker Kamera HMI 6 6 SG ZR Serialisierung langes Kabel >6000mm Bewertung Kombination aus Radar und Kamera: + erweiterter Erfassungsbereich + Breiteninformation + Fahrstreifeninformation + Redundanz - höhere Kosten Maurer, TUBS Radar 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB 28 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Technische Machbarkeit: Sensorik Sensordatenfusion Radar-Objekte Video-Fahrstreifen Video-Objekte Fusions-Objekte Maurer, TUBS 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB 29 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° optimierte Funktionsdefinition nach 2. Iteration Zwischenergebnis Human Factors Motivation: Kundennutzen Funktionsdefinition Sicherheitskonzept Produktsicherheit Markt Technische Machbarkeit Package Validierung in Versuchsfahrzeugen Systemarchitektur → Produkt: Lastenheft → Unfälle im Längsverkehr 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB 30 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° wenn zusätzliche Sensorik erforderlich: Einbauorte frühzeitig im Fahrzeug freihalten ° Einbinden in das Designkonzept Package Motivation: Unfallschwereminderung Funktionsdefinition Sicherheitskonzept Produktsicherheit Technische Machbarkeit Package Validierung in Versuchsfahrzeugen Systemarchitektur → Produkt: Lastenheft → Unfälle im Längsverkehr Human Factors Markt 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB 31 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° funktionale Systemarchitektur definieren ° Hardware und Prozessarchitektur entwickeln ° Software: Klassen, Objekte festlegen; Hierarchie und Verhalten definieren Systemarchitektur Systemarchitektur Motivation: Unfallschwereminderung Funktionsdefinition Sicherheitskonzept Produktsicherheit Technische Machbarkeit Package Validierung in Versuchsfahrzeugen → Produkt: Lastenheft → Unfälle im Längsverkehr Human Factors Markt 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB 32 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° Validieren der Funktionsdefinitionen in Versuchsfahrzeugen ° Testkonzepte für Absicherung entwickeln (Wahrscheinlichkeit für Fehlauslösungen) Validierung in Versuchsfahrzeugen Motivation: Unfallschwereminderung Funktionsdefinition Sicherheitskonzept Produktsicherheit Technische Machbarkeit Package Systemarchitektur → Produkt: Lastenheft → Unfälle im Längsverkehr Human Factors Markt 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB Validierung in Versuchsfahrzeugen 33 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Validierung in der Entwicklungsphase Testverfahren für Validierung ANB Prognose über Nutzen SV ... und in der Simulation Auslösetests mit Versuchsfahrzeugen… 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB 34 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ANB: Fire-Tests https://www.youtube.com/embed/LSzTCjIRkY0 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB 35 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Vehicle-in-the-Loop-Prüfaufbau Testumgebung für Collision-Mitigation-Systeme VR-Brille virtuell 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB 36 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- NoFire-Test im öffentlichen Straßenverkehr Erprobung und Abstimmung von FAS 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB 37 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° Sicherheit umfasst Gebrauchssicherheit und Funktionale Sicherheit ° Gefahren- und Risikoanalyse: ² Hazards (Gefahren) identifizieren, FTA, FMEA, STPA durchführen ² Sicherheitsziele definieren ° Sicherheitskonzepte erstellen ± Wird im zweiten Teil dieses Kapitels ausführlich behandelt Sicherheitskonzept Motivation: Unfallschwereminderung Funktionsdefinition Produktsicherheit Technische Machbarkeit Package Validierung in Versuchsfahrzeugen Systemarchitektur → Produkt: Lastenheft → Unfälle im Längsverkehr Human Factors Markt 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB Sicherheitskonzept 38 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Beispielsweise: ° unberechtigte Auslösung: erfolgt, ohne dass ein menschlicher Beobachter sie für angemessen hält ° fehlende Auslösung: erfolgt nicht, obwohl ein menschlicher Beobachter sie für erforderlich hält Gefahren (Hazards) der ANB Hindernis Ausweichen nicht mehr möglich Notbremsung Kopischke 2000 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB 39 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° Systematische Vorgehensweise in der Konzeptphase unterstützt: ² kundenorientierten Systementwurf ² Systementwurf marktfähiger Systeme ² Identifikation von Auslegungskonflikten ² sachliche Diskussion der Auslegungskonflikte ² Risiko-Nutzen-Abschätzung ± Entstehungsprozess von Sicherheitssystemen Fazit Motivation: Unfallschwereminderung Funktionsdefinition Sicherheitskonzept Produktsicherheit Technische Machbarkeit Package Validierung in Versuchsfahrzeugen Systemarchitektur → Produkt: Lastenheft → Unfälle im Längsverkehr Human Factors Markt 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB 40 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Übernahme der Erkenntnisse in Serienentwicklungsprozess Reichel 2013 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB Lastenheft Entwurf und Spezifikation Test Top Down Bottom Up Systematischer Entwurf von FAS (Nach Maurer) Serienentwicklung V-Modell 41 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Entwicklungsmodell: V-Modell 10 Entwicklungsprozess und funktionale Sicherheit ± 10.1 Entwicklungsprozess ± 10.1.2 Beispiel ANB Entwurf und Spezifikation Test Top Down Bottom Up Anforderungs- analyse System Spezifikation System Entwurf Subsystem Entwurf Modul Entwurf System- realisierung Subsystem Test Modul Test System Test System Auslieferung Einsatz- analyse 42 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

Agenda Entwicklungsprozess und Funktionale Sicherheit Dr.-Ing Frank Diermeyer (Simon Hoffmann, M.Sc.) 10 Entwicklungsprozess und funktionale Sicherheit 10.1 Entwicklungsprozess 10.2 Funktionale Sicherheit 10.2.1 Sicherheit und Risiko 10.2.2 ISO 26262 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° Was bedeutet Sicherheit? ² „Safety: absence of unreasonable risk“ [ISO 26262] ° Risiko muss unter einem Grenzwert bleiben ² „Risk: combination of the probability of occurrence of harm and the severity of that harm“ [ISO 26262] ° Verschiedene Teilaspekte müssen betrachtet werden ² Funktionale Sicherheit [ISO 26262] ² Gebrauchssicherheit (SOTIF: Safety of the intended functionality) [ISO/PAS 21448] ² Angriffssicherheit (Cyber Security) [ISO/SAE 21434] Sicherheit von technischen Systemen 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.1 Sicherheit und Risiko 44 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Normen im Automotive Bereich 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 Functional Safety ISO 26262 SOTIF ISO/PAS 21448 Cyber Security ISO/SAE 21434 oder SAE J3061 Ziel: Vermeiden von Gefahren welche durch das Versagen von E/E Systemen entstehen. Beispiel: • Ausfall Radar Sensor • Fehler im Hydraulikaggregat (ESP) Ziel: Vermeiden von Gefahren welche durch bei bestimmungsgemäßen Gebrauch oder zu erwartendem Fehlgebrauch auftreten. Beispiel: • LiDAR Auflösung nicht ausreichend für Fußgänger • Fahrer verletzt Überwachungspflicht Ziel: Vermeiden von Gefahren welche durch Cyber Angriffe entstehen. Beispiel: • Zugriff auf Aktorik über Fahrzeug WLAN ISO/SAE 21424 aktuell nur als Draft verfügbar. Finale voraussichtlich ab Mitte 2021. 45 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Risikoreferenz und -akzeptanz 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.1 Sicherheit und Risiko ° As low as Reasonably Practicable (ALARP) ² Vertretbare Risikoreduktionsmaßnahmen müssen ergriffen werden ° Globalement Au Moins Aussi Bon (GAMAB) ² Mindestens gleiche Sicherheit (wie vergleichbare bestehende Systeme) ° Minimum Endogenous Mortality (MEM) ² Sterberate durch technische Systeme darf nicht über normaler Sterblichkeitsrate liegen ° Sicherheitsnormen mit Empfehlungen für Fehlerraten 46 Maschinen-sicherheit.net Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Lösungsansatz für Systeme mit erhöhter Fehlerwahrscheinlichkeit aus der Wirtschaftsethik Alternativer Lösungsansatz für neue Systeme ° Kernaussage: Ein System mit erhöhter Fehlerwahrscheinlichkeit ist dann konsensfähig, wenn die Individuen „größere Vorteile erwarten können als vom alten System“. ± Sinkt der Erwartungswert eines Schadensfalles durch das Sicherheitssystem und entsteht gleichzeitig ein weit geringeres Risiko für einen anderen Schadensfall gleicher Schwere, so kann der Einzelne der neuen Regelung zustimmen. ° Risikominderung der Hersteller durch Fonds (Versicherungen, Hersteller) Homann 2005 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.1 Sicherheit und Risiko 47 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Beispiel Sicherheitssystem Alternativer Lösungsansatz ° Annahmen: ² Ein Sicherheitssystem verhindert 10*x Todesfälle im Jahr ² Dieses Sicherheitssystem verursacht aber zusätzlich x Todesfälle im Jahr ° der Erwartungswert sinkt, dass der Einzelne in einem Szenario, in dem alle Fahrzeuge mit diesem Sicherheitssystem ausgerüstet sind, geschädigt wird ± zustimmungsfähig für alle Einzelnen in der Gesellschaft ° offene Kommunikation und Zusammenarbeit mit „Versicherungswirtschaft (als Agent der Gesellschaft), Automobilverbänden, Staat, TÜVs, Verbraucherschutzorganisationen“ Homann 2005 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.1 Sicherheit und Risiko 48 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

Agenda Entwicklungsprozess und Funktionale Sicherheit Dr.-Ing Frank Diermeyer (Simon Hoffmann, M.Sc.) 10 Entwicklungsprozess und funktionale Sicherheit 10.1 Entwicklungsprozess 10.2 Funktionale Sicherheit 10.2.1 Sicherheit und Risiko 10.2.2 ISO 26262 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Betrachtet Gefahren aufgrund von Systemfehlern Funktionale Sicherheit: ISO 26262 ° “functional safety: absence of unreasonable risk due to hazards caused by malfunctioning behaviour of E/E systems” [ISO26262] ° ISO 26262: Road vehicles – Functional safety ² INTERNATIONAL STANDARD ² Scope: Funktionale Sicherheit von E/E-Komponenten in Serienfahrzeugen ² Spezialisierung der IEC 61508 für den Automobilbereich: Functional Safety of Electrical/Electronic/Programmable Electronic Safety- Related Systems ± Damit für alle Serienfahrerassistenzsysteme relevant 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 50 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ISO 26262 spezifiziert ° Entwicklungsprozesse ° Anforderungen Jeweils für ° Systemebene ° Hardwareebene ° Softwareebene in Anlehnung an geschachtelte V-Modelle Systementwicklung nach ISO 26262 Systemanforde- rungsanalyse Abnahme und Nutzung System- architektur Systementwurf Software- architektur Softwareentwurf Unit-Tests Integrations- tests System- integration Detaillierung Zeit Giesler, Audi 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 51 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ISO 26262 – Übersicht 1. Vocabulary 2. Management of functional safety 3. Concept phase 4. Product development at the system level 5. Product development at the hardware level 6. Product development at the software level 7. Production and operation 8. Supporting processes 9. ASIL-oriented and safety-oriented analyses 10. Guideline on ISO 26262 ISO 26262 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 12. Adaption of ISO 26262 for motorcycles 11. Guideline on appl. of ISO 26262 to semiconductors 52 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° Allgemeine Managementstrukturen ² Safety culture ² Competence management ² Quality Management ° Safety management in der Konzeptphase ² Benennung safety manager: plant und überwacht safety activities ² Confirmation measures: reviews, functional safety audits and assessments, je nach ASIL Unabhängigkeit der Bewerter ° Safety management nach SOP Management of functional safety 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 53 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° Item Definition (Item: System um eine Funktion auf Fahrzeugebene umzusetzen) ° Initiation of the safety life cycle ° Hazard analysis and risk assessment (Gefährdungs- und Risikoanalyse (G&R)) ° Safety concept (Sicherheitskonzept) Konzeptphase 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 54 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° Item: system or array of systems to implement a function at the vehicle level, to which ISO 26262 is applied ° Definition und Beschreibung des Items ² Funktionale und nichtfunktionale Anforderungen (Systemzustände, Einschränkungen, rechtliche Anforderungen, bekannte Ausfallarten) ² Systemgrenzen und Schnittstellen (Elemente des Systems, Abhängigkeiten und Interaktionen mit der Umwelt und anderen Items) ° Item Definition muss ausreichend Informationen über das Item für die folgenden Phasen der ISO26262 bereitstellen Bsp: Fahrerairbag im Lenkrad mit Auslöseeinheit (inkl. Sensoren) ² Elemente: Sensoren, Übertragung, Auslöseeinheit, Airbag ² Anforderung: Auslösung nur bei Crash (Schwere zu definieren) ² … Item Definition 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 55 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° Unterscheidung: neues Item oder modifiziertes Item ° Bewertung ob safety life cycle bei Modifikation reduziert werden kann Initiation of the safety life cycle 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 56 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° Zielsetzung • Systematische Ermittlung und Bewertung potenzieller Gefahren und Risiken eines Systems ° Methodik • Definition der Hauptfunktionen des Systems und Ermittlung der potenziellen Fehlfunktionen • Ermittlung der relevanten Szenarien, in denen die Fehlfunktionen auftreten können • Quantifizierung der Gefahren und Risiken, die sich durch das Auftreten der Fehlfunktionen in den relevanten Szenarien ergeben ° Anmerkung • Situationsauswahl darf nicht zu ASIL-Reduktion führen (durch zu detaillierte Betrachtung) • Betrachtung unabhängig vom Sicherheitskonzept ± G&R ist Grundlage für das Sicherheitskonzept Hazard analysis and risk assessment 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 57 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- 1. Basiert auf Item Definition Interne Sicherheitsmechanismen werden nicht berücksichtigt 2. Identifizieren aller Betriebszustände und -modi des Gesamtsystems (=Kundenfunktionen) 3. Identifizieren aller Betriebssituationen, in denen sich das Item befinden kann 4. Systematische Identifikation aller Fehlfunktionen • auf Fahrzeugebene • Techniken: Brainstorming, Checklisten, FMEA, Feldstudien 5. Gefährliche Situationen als Kombination aus Fehlfunktion und Betriebssituation 6. Klassifizierung des gefährlichen Events: Bewertung der Schwere, Exposition und Kontrollierbarkeit 7. Bestimmung der ASIL für jedes gefährliche Ereignis 8. Festlegung von Sicherheitszielen G & R nach ISO 26262 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 58 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Vorgehensweise – Schema Betriebszustand BZ-1 BZ-2 … BZ-n Betriebs- situation BS-1 BS-2 X … BS-n Fehlfunktion FF-1 FF-2 … FF-n Szenario … Sz-1 BS-1_BZ-2 Sz-2 X … … … Sz-n Szenario (SZ) Gefahren- situation (GS) Sicherheitslevel E S C Gefahrensituation … GS- 1 Sz-2_FF-2 GS- 2 2 3 2 … … … GS- n A B C D Bestimmung v. Sicherheitszielen Bestimmung von ASIL E F Bestimmung von Maßnahmen , um die Sicherheitsziele zu erreichen 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 59 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Bewertungskriterien Klasse S0 S1 S2 S3 Beschrei- bung Keine Verletzung Leichte und mittlere Verletzung Schwere Verletzung – Überleben wahrscheinlich Lebensgefährliche Verletzung – Überleben unwahrscheinlich Klasse E0 E1 E2 E3 E4 Beschrei- bung Unvor- stellbar Sehr niedrige Wahrscheinlichkeit Niedrige Wahrscheinlichkeit Mittlere Wahrscheinlichkeit Hohe Wahrscheinlichkeit Klasse C0 C1 C2 C3 Beschrei- bung Im Allgemeinen beherrschbar Einfach beherrschbar Normalerweise beherrschbar Schwierig oder nicht beherrschbar Exposure (Häufigkeit der Situation) Severity (Schwere eines möglichen Schadens) Controllability (Beherrschbarkeit durch Benutzer/Person) 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 60 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ASIL Bestimmungstabelle S E C1 C2 C3 S1 E1 QM QM QM E2 QM QM QM E3 QM QM A E4 QM A B S2 E1 QM QM QM E2 QM QM A E3 QM A B E4 A B C S3 E1 QM QM A E2 QM A B E3 A B C E4 B C D 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 61 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° Für jedes ASIL-behaftete gefährliche Ereignis mindestens ein Sicherheitsziel definieren ° ASIL des Sicherheitsziels = max. ASIL der zugeordneten gefährlichen Ereignisse Beispiel Airbag: ° Szenario: manuelle Fahrt auf Landstraße ° Fehlfunktion: unbegründete Auslösung ohne Crash ° Gefährliches Ereignis: Fahrer verliert Kontrolle aufgrund Auslösung bei manueller Fahrt ° Exposure E4 (beliebige Fahrten), Severity S3 (Kollision mit Gegenverkehr, Infrastruktur …), Controlability C3 (normal nicht beherrschbar) ± ASIL D ° Sicherheitsziel: das unbegründete Auslösen des Airbags muss verhindert werden. Sicherheitsziele 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 62 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° Funktionale Sicherheitsanforderungen aus Sicherheitszielen ableiten ° Anforderungen an funktionale Architekturelemente zuweisen Funktionales Sicherheitskonzept 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 63 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° Sicherheitsziel: Airbag darf nicht unbegründet auslösen (ASIL D) ° Sicherheitskonzept: redundanter Auslösemechanismus ° Sicherheitsanforderungen: ² Auslösung nur, wenn beide Pfade schalten ² Pfade unabhängig ² … Beispiel Fahrerairbag 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 64 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° Spezifikation der Sicherheitsanforderungen soll beinhalten: ² operating modes ² fault tolerant time interval ² safe states ² emergency operation interval ² functional redundancies (e.g. fault tolerance) ° Verifikation des Sicherheitskonzepts: ² Konsistenz zu den Sicherheitszielen ² Fähigkeit, die gefährlichen Ereignisse zu vermeiden Funktionales Sicherheitskonzept (2) 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 65 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° Sicherheitsanforderungen an die technische Umsetzung ° Jeweils spezielle Anforderungen für die Hardware und Software ° Bsp. Technisches Sicherheitskonzept (Hardware): ² Zwei unabhängige Beschleunigungssensoren ² Zwei unabhängige Zündungskreise Technisches Sicherheitskonzept 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 66 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° ASIL-abhängige Anforderungen an die Entwicklung auf den Ebenen ² System ² Hardware ² Software ° Je höher der ASIL, desto mehr bzw. aufwendigere ² Methoden ² Sicherheitsmechanismen ² Nachweise Anforderungen an die Produktentwicklung 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 67 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- “++” highly recommended for the identified ASIL; “+” recommended for the identified ASIL; “o” no recommendation for or against its usage for the identified ASIL. ° “The requirements or recommendations of each subclause shall be complied with for ASIL A, B, C and D, if not stated otherwise.” ° Sicherheitsmechanismen gegen latente Fehler ² ab ASIL C: Erkennung von latenten Fehlern ° Vermeidung von systematischen Fehlern: ² Systemanalyse: steigende Anforderungen an die verwendeten Methoden Bedeutung der ASILs: Anforderungen an die Entwicklung 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 68 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Dekomposition hoher in niedrige Anforderungen ASIL-Dekomposition durch Redundanz ° Unter bestimmten Bedingungen ist die Dekomposition kritischer Komponenten in mehrere redundante Komponenten möglich ² Unterschiedliche Hardware ² Unterschiedliche Algorithmik ² Unterschiedliche Software ° Dabei gilt: B=A(B)+A(B), C=A(C)+B(C), D=A(D)+C(D) oder B(D)+B(D) Giesler, Audi Funktionsmodul ASIL-C Redundante Komponente 1 ASIL-A(C) Redundante Komponente 2 ASIL-B(C) Dekomposition 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 69 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° Maßnahmen zur Erkennung und Vermeidung zufälliger Hardwarefehler ° Quantitative Bestimmung des Restrisikos durch single-point faults, residual faults und dual-point faults ² single-point fault • fault in an element that is not covered by a safety mechanism and that leads directly to the violation of a safety goal ² dual-point fault • individual fault that, in combination with another independent fault, leads to a dual- point failure ² residual fault • portion of a fault that by itself leads to the violation of a safety goal , occurring in a hardware element , where that portion of the fault is not covered by safety mechanisms Anforderungen an Hardwareentwicklung 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 70 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° Ab (B), C, D: ² Diagnostic coverage von Sicherheitsmaßnahmen bestimmen ² Metriken, um Hardwarefehlerraten zu bestimmen ² Falls nicht möglich, zusätzliche Sicherheitsmechanismen ² Festlegen und Nachweisen von Ziel-Fehlerraten • Sehr geringe Fehlerraten häufig nur durch Redundanz möglich Anforderungen an Hardwareentwicklung (2) 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 71 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- ° ASIL-D: 10 °± ² ³ = 10 FIT (Failure in Time, 1 FIT = 10 °´ ² ³ ) ° Bei Reihenschaltung von Komponenten werden Fehlerraten der Komponenten addiert ± Gesamtsystem schlechter als die schlechteste Komponente ° Sehr geringe Fehlerraten nur durch Redundanz zu erreichen Fehlerraten 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 72 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Überblick Produktentwicklung auf Softwareebene 10 Entwicklungsprozess und funktionale Sicherheit ± 10.2 Funktionale Sicherheit ± 10.2.2 ISO 26262 73 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

VL10- Beispiel: 6-7 Software architectural design 10 Entwicklungsprozess und funktionale Sicherheit Produktentwicklung auf Softwareebene Ziel: ° Entwicklung eines Softwaredesigns, welches die (Sicherheits-) Anforderungen an die Software einhält. ° Zeigen, dass das Softwaredesign in der Lage ist die ASIL Sicherheitsanforderungen zu erfüllen. ° Unterstützung der Softwareimplementierung. Dazu werden unter anderem folgende Punkte adressiert: ° Empfehlungen zur Software Notation ° Empfehlungen zu Prinzipien der Software Architektur ° Mechanismen zur Fehlererkennung (range checks, plausibility checks, …) ° Mechanismen zur Fehlerbeherrschung (graceful degradation, diverse redundancy, …) ° Empfehlung von Methoden zur Verifikation des Softwaredesigns 74 Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

Zusammenfassung der Leitfragen VL10 - 75 ° Wie ist der Entwicklungsprozess nach Maurer aufgebaut? Wie können prototypische Konzepte für die durchlaufenen Teilschritte bewertet und entwickelt werden? Human Factors Motivation: Unfallschwereminderung Funktionsdefinition Sicherheitskonzept Produktsicherheit Markt Technische Machbarkeit Package Validierung in Versuchsfahrzeugen Systemarchitektur → Produkt: Lastenheft Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

Zusammenfassung der Leitfragen VL10 - 76 ° Was bedeutet “Sicherheit” und in welche Teilbereiche kann sie untergliedert werden? ² „Safety: absence of unreasonable risk“ ² Teilaspekte: ± Funktionale Sicherheit: ISO 26262 ± Gebrauchssicherheit – Safety of the intended functionality (SOTIF): ISO/PAS 21448 ± Angriffssicherheit (Cyber Security): ISO/SAE 21434 ° Womit beschäftigt sich die ISO 26262 und was sind ihre Kernelemente? ² Thema: Funktionale Sicherheit von E/E-Komponenten in Serienfahrzeugen ² Spezifiziert Entwicklungsprozesse und Anforderungen ± für alle Serienfahrerassistenzsysteme relevant! Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333

Zusammenfassung der Leitfragen VL10 - 77 ° Wie kann ein System entsprechend der G&R-Analyse nach ISO 26262 analysiert und bewertet werden? 1. Item Definition 2. Identifizieren aller Betriebszustände und -modi des Gesamtsystems 3. Identifizieren aller Betriebssituationen 4. Systematische Identifikation aller Fehlfunktionen 5. Gefährliche Situationen = Kombination aus Fehlfunktion und Betriebssituation 6. Klassifizierung des gefährlichen Events: Bewertung der Schwere, Exposition und Kontrollierbarkeit 7. Bestimmung der ASIL für jedes gefährliche Ereignis 8. Festlegung von Sicherheitszielen Heruntergeladen durch Atef Naz (atefnazer2015@gmail.com) lOMoARcPSD|490333