Page - (000646) - in Autonomes Fahren - Technische, rechtliche und gesellschaftliche Aspekte

62528.4 Erhöhung der Produktsicherheit automatisierter Fahrzeuge Weiterhin berücksichtigt die ISO 26262 Ausfallraten technischer und elektronischer Bau- teile (Failure in Time – FIT). Die Einheit FIT gibt die Anzahl der Bauteile an, die innerhalb von 109 Stunden ausfallen. Im Ergebnis aus Auftrittswahrscheinlichkeit f und – falls mög- lich – Beherrschbarkeit bzw. Kontrollierbarkeit C erfolgt eine Einstufung der „Sicherheits- kritikalität“ nach ASIL B, C (empfohlene Ausfallwahrscheinlichkeit kleiner 10–7 je Stunde; dies entspricht einer Rate von 100 FIT) bis ASIL D (geforderte Ausfallwahrscheinlichkeit kleiner 10–8 je Stunde; dies entspricht einer Rate von 10 FIT). Die höchsten Anforderungen entsprechen dem ASIL D. Zusätzlich berücksichtigt die ISO 26262 neben dem normalen Betrieb des Fahrzeugs auch Serviceanforderungen bis hin zur Stilllegung des Fahrzeugs. In diesem Zusammenhang müssen Entwickler bei der Auswahl von Bauelementen Alterungs folgen elektronischer Systeme in Betracht ziehen. Steuergeräte oder Sensoren sind durch eine robuste Auslegung entsprechend zu schützen, falls sie mit alterungsemp- findlichen Elektrolytkondensatoren zur Energiereserve bestückt wurden. Ein Ausfall darf keine wichtigen Funktionen außer Kraft setzen [22]. 28.4.4.2 Gefahren- und Operabilitätsstudie (HAZOP) Die Gefahren- und Operabilitätsstudie (Hazard and Operability Study – HAZOP) ist eine frühe Risikobewertung, die in der Prozessindustrie entwickelt wurde. Eine HAZOP sucht nach jeder vorstellbaren Prozessabweichung vom normalen Betrieb und betrachtet dann mögliche Ursachen und Konsequenzen. Typischerweise führt ein Spezialistenteam aus den betroffenen Entwicklungsbereichen die Suche bei der HAZOP systematisch durch, um so die Wahrscheinlichkeit zu minimieren, dass wichtige Faktoren übersehen werden [5]. 28.4.4.3 Fehler-Möglichkeits- und Einfluss-Analyse (FMEA) Die Fehler-Möglichkeits- und Einfluss-Analyse (Failure Mode and Effects Analysis – FMEA) sowie die integrierte Fehler-Möglichkeits-, Einfluss- und Kritikalitätsanalyse (Failure Mode, Effects and Criticality Analysis – FMECA) sind Methoden zur Zuverläs- sigkeitsanalyse, die Fehler mit signifikanten Konsequenzen identifizieren, welche die Sys- temleistung in der betrachteten Anwendung betreffen. Die FMEA basiert auf einem defi- nierten System, einer Baugruppe oder einem Bauteil, für das die grundlegenden Fehlerkri- terien (Primärfehlermodi) verfügbar sind. Sie ist eine Technik zur Absicherung und Ein- schätzung möglicher Fehlerzustände bei der Auslegungsüberprüfung. Sie kann vom ersten Schritt der Systemauslegung bis zum fertigen Produkt angewendet werden. Die FMEA lässt sich auf die Auslegung aller Systemebenen anwenden [26, 27]. 28.4.4.4 Fehlerbaumanalyse (FTA) Die Fehlerbaumanalyse (Fault Tree Analysis – FTA) beschäftigt sich mit der Identifikation sowie Analyse von Bedingungen und Faktoren, die das Auftreten eines definierten Fehler- zustands begünstigen, der die Systemleistung, Wirtschaftlichkeit, Sicherheit oder andere erforderliche Eigenschaften beträchtlich beeinflusst. Der Fehlerbaum ist besonders geeig- net für die Analyse komplexer Systeme, die mehrere funktionell zusammenhängende oder unabhängige Untersysteme mit verschiedenen Leistungszielen umfassen. Dies trifft insbe-