Seite - (000644) - in Autonomes Fahren - Technische, rechtliche und gesellschaftliche Aspekte

62328.4 Erhöhung der Produktsicherheit automatisierter Fahrzeuge ‡ in welchen Situationen die Automatisierung verwendet werden könnte, wofür sie jedoch nicht ausgelegt ist (Falschinterpretation und potenzieller Fehlgebrauch) ‡ wann Leistungsgrenzen für erforderliche Redundanzen erreicht sind ‡ ob gefährliche Situationen durch Fehlfunktionen der Automatisierung verursacht werden (Versagen) Die gemeinsame Erarbeitung einer maximalen Anzahl an systemrelevanten Situationen macht es wahrscheinlich, dass keine relevante Gefahr ausgelassen oder vergessen wurde. Im nächsten Schritt empfiehlt sich eine Zusammenfassung von Gefahren mit direktem Einfluss auf die Sicherheit. Nach einer Reduktion auf tatsächliche sicherheitsrelevante Situationen werden hierfür technische Lösungen entwickelt. 28.4.4 Methoden zur Risikobewertung während der Entwicklung In einer Veröffentlichung der Bundesregierung wird im Zusammenhang mit dem Ausstieg aus der Atomenergie erwähnt, dass die deutsche Gesellschaft als „Schicksals gemeinschaft“ und als Teil der „Weltrisikogesellschaft“ den Fortschritt und Wohlstand bei gleichzeitig beherrschbaren Risiken wünscht [24]. Dies ist sicherlich nur eingeschränkt auf den Straßenverkehr übertragbar, denn die Risiken durch automatisierte Fahrzeuge beschränken sich – im Gegensatz zur Atomenergie – auf einen überschaubaren Personenkreis. Ähnlich sind jedoch spezifische Anforderungen an die verwendeten Methoden zur Analyse und Bewertung der Risiken. Im Folgenden werden fünf gängige Methoden vorgestellt. 28.4.4.1 Gefahrenanalyse und Risikobewertung Der ADAS Code of Practice zur Entwicklung aktiver Längs- und Querführungsfunktionen [5, 6] sowie die ISO 26262 Teil 3 zur Funktionssicherheit [22] beschreiben das Vorgehen zur Gefahrenanalyse und Risikobewertung (G&R). Auch Teile der in den folgenden Abschnitten genannten Methoden (HAZOP, FMEA, FTA, HIL) verweisen auf die G&R. Ziel der G&R ist es, potenzielle Gefahren einer Be trachtungseinheit zu identi fizieren, einzustufen und Ziele zu definieren. So lassen sich Gefahren vermeiden und die Risiken auf ein gesellschaftlich und individuell akzeptiertes Maß minimieren. Dazu wird eine „ Betrachtungseinheit“ bezüglich ihres Einflusses auf die Sicherheit beurteilt und einem Automotive Safety Integrity Level (ASIL) zuge ordnet. Eine „Betrachtungseinheit“ (Item) nach ISO 26262 ist definiert als komplexes elektrisches/elektronisches System oder als Funk tion, die mechanische Komponenten verschiedener Technologien enthalten kann. Der ASIL wird bestimmt durch eine systematische Aus wertung von möglicherweise gefähr- lichen Situationen und Betriebsbedingungen. Dabei erfolgt eine Bewertung der Unfall- schwere [25] im Zusammenhang mit der Auftritts wahrscheinlichkeit. Eine Reduktion auf eine angenommene Hardwareausfall-Fehlerrate (z. B. ASIL D: < 10-8 h-1) für gesellschaft- lich und individuell akzeptierte Risiken (S. 624, Abb. 28.3) erfolgt durch externe Maß- nahmen [22].