Befahrene Straße bei Nacht | © Shutterstock

Funktionale Sicherheit

IM AUTOMOTIVE

Das sind die Herausforderungen der Zukunft!

Wer „A“ sagt, der muss auch „B“ sagen, und das in einem Umfeld, in dem das Gelangen von A nach B maximale Priorität hat. Während die Grenzen der herkömmlichen Fahrzeugarchitektur enger werden, stellt sich die Frage, wie sich Funktionale Sicherheit (FuSi) künftig ausrichten muss, um zukunftssicher und adaptiv zu bleiben.

Funktionale Sicherheit – Was ist das eigentlich?

Die Frage, was genau die meist nur als „FuSi“ abgekürzte „Funktionale Sicherheit“ ist, ist interessanterweise nicht mit einem Satz zu beantworten. So bezieht sich FuSi vor allem in der Automobilbranche auf elektronische und elektrische Systeme (wie zum Beispiel Steuergeräte). Hierzu gibt die Norm ISO26262, die die Einstufung der Sicherheit dieser Systeme regelt. Schließlich ist Sicherheit besonders im Automotive-Bereich für Kunden, Hersteller und Nutzer gleichermaßen von maximalem Interesse. Erwähnenswert hierbei ist, dass die Norm ISO26262 verschiedene Automotive Safety Integrity Level (ASIL) beschreibt, die - je nach Schwere und Wahrscheinlichkeit eines gefährlichen Ereignisses - zu erfüllende Sicherheitsanforderungen an das System stellen, wie Ausfallraten, Fehlermetriken, Unabhängigkeitsanforderungen und einige mehr. Außerdem zeigt sie umfangreiche Anforderungen auf, die insbesondere den Weg, wie ein Unternehmen zum Endergebnis gelangt ist, nachweisen und hält fest, ob die erforderlichen Grundlagen (wie Prozesse und Vorgehensweisen zur Vermeidung von Spezifikationsfehlern, Erkennen zufälliger Fehler oder Beherrschung der Übergänge definierter Zustände) erfüllt wurden. Eine hundertprozentige Sicherheit zu gewährleisten, ist aufgrund der schier unerschöpflichen Betrachtungsszenarien nicht möglich, weshalb es trotz größter Sorgfalt zu sicherheitsrelevanten Fehlern im Fahrzeugbetrieb kommen kann. Maßgeblich für diese Betrachtung ist das sogenannte „gesellschaftlich akzeptierte Restrisiko“, welches für den jeweiligen Einzelfall im juristischen Rahmen bewertet werden muss.  Dies verdeutlicht, dass Funktionale Sicherheit als Teilbereich der Sicherheit ein Gebiet ist, auf dem entsprechende Expertise erforderlich ist, um – pun intended – sicher und für Kunden, Hersteller und Endnutzer verlässlich zu operieren.

Zugleich ist dieser Fachbereich der automobilen Sicherheit wichtiger denn je: Rechner übernehmen heute praktisch alle Sicherheitsfunktionen. Steuergeräte, teilautomatisierte Fahrfunktionen, Klimaanlage, Command System. Sie alle sollen den Nutzer sicher im Alltag oder Beruf begleiten, fehlerfrei, verlässlich funktional. Indes, durch die zunehmende Komplexität in der E-/E-Gesamtfahrzeugentwicklung steigt die Herausforderung für und der Anspruch an bestehende Architekturen rasant an. Die Zuverlässigkeit, die unbedingt zu beachtende Sicherheit, das Datenhandling: Gebiete, die an ihre Grenzen stoßen, da viele Anforderungsprozesse und -methoden häufig veraltet sind. Sicher: High Computing Plattformen sind mögliche Antworten auf die gewaltigen zu verarbeitenden Datenmengen, und mit MBSE (Modellbasierte Systementwicklung) lässt sich gegensteuern, sogar effizient. Die ESG Mobility ist auf diesen Gebieten seit Jahren in einer Rolle nah am Geschehen, mit eigenen Experten und eigenen Prozessen, die sicherstellen, dass diesen Herausforderungen einer modernen Zeit, einer neuen Mobilität, auch gewissenhaft begegnet wird. Bewusst sein, bewusst gemacht werden muss aber in jedem Fall, dass die von genutzten Systemen erhobenen Daten explosionsartig angestiegen sind, so dass die Datenweiterverwendung im Sinne der Gesamtfunktionalität zur neuerlichen Herausforderung wird. Auch hier bietet die ESG Mobility Lösungen an, wie beispielsweise die Datensensorfusion. Aber was geschieht mit den Fragen, die Funktionale Sicherheit beantworten muss, wenn die Verantwortung vom Fahrer an das System abgegeben wird? Wie kann dies mit den neuen Konditionen und Wünschen der Endnutzer harmonieren? Wie kann Sicherheit durch Systeme gewährleistet werden, die sich der direkten Kontrolle mehr und mehr entziehen wollen – und sollen?

In A Nutshell

  • Produktsicherheit
  • Functional Safety Management
  • Functional Safety Consulting
  • Sicherheitsanalysen
  • IEC 61508 und ISO 26262
  • SOTIF
Andreas Stiehler ESG Mobility | © ESG Mobility
Andy Stiehler
Leiter Fachbereich Funktionale Sicherheit

Frag uns was!

 

Funktionale Sicherheit (FuSi) bei steigendem Automatisierungslevel

Tesla, VW ID, Renault Zoé – das Zeitalter der Elektro-Autos naht, nein, ist schon da, und mit ihm kommt das Versprechen von autonomem Fahren, von Teilassistenzen, die auf der Autobahn und im Stadtverkehr nicht nur Luxus bieten, sondern unbedingte Sicherheit auf die Straße und in die Köpfe der Kunden bringen müssen. Bei der Entwicklung dieser Systeme ist FuSi in einer adaptiven Rolle, die sich weiterentwickeln muss – hin zu neuen Fragestellungen, neuen Systemen, deren Homogenisierung leider noch in weiter Ferne scheint. Auch geht mit zunehmendem Automatisierungslevel in aktuellen Fahrzeugen auch mehr und mehr Verantwortung vom Fahrer auf das System über. Dies ist nicht nur eine Frage der Sicherheit, es bringt auch rechtliche Relevanz mit sich: Wenn das Assistenzsystem bremsen soll, dies aber nicht rechtzeitig tut – wer haftet? Fahrer? System? Hersteller? FuSi-Entwickler? Die Antwort vorwegnehmend sei gesagt, dass das allgemeine rechtliche Verständnis in diesem Punkt kritisch ist, teils ungeklärt. Nicht nur eine Frage der K.I. ist, wenn ein Bremssystem entscheiden muss, für wen es bremsen soll. Sicherlich, hier schneiden wir auch Teilbereiche Künstlicher Intelligenz an, keine Frage. Aber wie geht Funktionale Sicherheit mit diesem Rechtsverständnis um? Indem einwandfreie Grundlagen geschaffen werden, schon im Vorfeld. Es ist Aufgabe und zugleich Verdienst Funktionaler Sicherheit, elektrische und elektronische Systeme schon im Rahmen der Entwicklung mit Voraussicht, umfassender Eventualitäts-Planung und maximalem technischen Knowhow so zu entwickeln, dass diese sich im Verlauf auch in einer hochtechnologischen, automatisierten Umgebung integrieren lassen und die Sicherheit auf unseren Straßen weiterhin gewährleisten.

Welche Rolle spielt Cyber Security für die Funktionale Sicherheit?

Eine Frage, die die Antwort beinahe schon hinwegnimmt: So, wie FuSi ein Teilbereich der Sicherheit ist, gilt dies auch für die Cyber Security. Teilbereiche, deren gegenseitige Abstimmung unerlässlich ist. Durch die stetige, rasante Zunahme der Konnektivität in heutigen Fahrzeugen bieten sich zahlreiche Lücken für Angriffe und Sicherheitslücken, denen Cyber Security begegnen muss, noch bevor die Funktionale Sicherheit überhaupt beginnt, und denen gegenüber Cyber Security oftmals die einzige Antwort bietet. So wird Systemen ein in sich selbst sicheres Konzept zugrunde gelegt, dass nicht nur vor eigenen Fehlern sicher ist, sondern das auch nicht von außen mit schadhafter Absicht manipuliert werden kann. Dieser wichtige Bereich der Produktsicherheit läuft unter dem Schlagwort „Automotive Cyber Security“ und ist nicht nur eine mögliche Lösung. Vielmehr ist es absolute Grundvoraussetzung für eine tatsächlich funktionale, im Sinne von verlässlich funktionierender Sicherheit. Auch die Lösungen der ESG Mobility im Bereich Produktsicherheit berücksichtigen dies und bieten umfassende Anwendungsszenarien für Automotive Cyber Security.

Wichtig in diesem Spannungsfeld ist außerdem das sogenannte „SOTIF“, stehend für „Safety Of The Intended Functionality“, als Teilgebiet technischer Produktsicherheit. Schließlich ist zu berücksichtigen, dass nicht alle möglichen Fehler böswillig eingebracht werden, sondern auch durch fehlerhafte Auslegung von zum Beispiel infrastrukturellen Elementen entstehen können. In diesem Fall läge eine grundsätzliche Verantwortlichkeit für diesen Fehlerraum in einem Bereich, in dem Cyber Security nicht mehr und die Funktionale Sicherheit noch nicht greifen. Die Entwicklung der Norm ISO21448 ist ein wichtiger Baustein, um Anforderungen und Prozesse auf einen einheitlichen Standard zu heben. Die ESG Mobility berücksichtigt diesen wichtigen Baustein sicherer Endprodukte von Haus aus und bietet somit ein weiteres Alleinstellungsmerkmal in einem Sektor, in dem das Vertrauen von Kunden schwer zu gewinnen, aber schnell verspielt ist.

Funktionale Sicherheit – Kein optionales Endheilmittel, sondern unterschätztes Grundkonzept

Betrachtet man die bisherigen Ausführungen, wird schnell klar, dass Funktionale Sicherheit zu den Kernkompetenzen im Autobau gehört. Vorbei die Zeiten, in denen ein Mechaniker noch ohne Laptop und komplexe Software auskommt, vorbei die Zeiten, in denen auch ohne tiefgreifende IT-Kenntnisse eine Möglichkeit besteht, moderne Fahrsysteme zu durchschauen. So sollte man meinen, ist FuSi als grundlegendes Sicherheitskonzept, Cyber Security zum Schutz moderner Systeme inklusive, unbedingter Standard für jedes Unternehmen im Windtunnel des Automotive Genres. Doch weit gefehlt: Wichtigkeit und die eigentliche Zielsetzung von Funktionaler Sicherheit wird in einem für Branchenkenner mitunter überraschendem Ausmaß noch immer nicht verstanden. Natürlich: Dass Sicherheit wichtig, unerlässlich ist, ist jedem Unternehmen bekannt. Doch welche Konsequenzen dies schon in frühesten Stadien des Automobil-Baus und der sicherheitsrelevanten Systementwicklung hat, wird oft zumindest unterschätzt. Manch Unternehmen - auch unter den Big Playern der Branche - geht davon aus, dass es ausreicht, sich von Prototyp zu Prototyp zu hangeln. Das ganze System, so der häufig anzutreffende Irrglaube, lässt sich schließlich problemlos ganz zum Schluss und unkompliziert nachintegrieren. Patient hat Fieber, Hand auflegen hilft – anstatt von Beginn an warme Kleidung für stürmisches Wetter zu wählen, um der Analogie zu folgen. Jedoch: Weit gefehlt. Ein Sicherheitslebenszyklus muss von Beginn an integrativ im Entwicklungsprozess verankert sein, um aktuellen Standards und der weiter voranschreitenden Entwicklung folgen zu können. Um zu verdienen, was der Name sagt: Sicherheit zu bieten. Nur, wenn das gesamte funktionale Konzept erarbeitet wurde und alle Aktivitäten der schon erwähnten ISO 26262 entwicklungsbegleitend umgesetzt werden, kann ein Endprodukt funktional sicher sein. Dies ist also kein formales Vorgehen, dem man aus unbestimmten Gründen eines Sicherheitsgefühls oder auf Basis konkreter Anforderungen nachgeht, weil man muss. Es ist unbedingte Entwicklungsarbeit mit Hands-On-Mentalität, die Voraussicht, Konzept und kompetente Umsetzung von fähigen Experten verlangt. Experten, die sich die ESG Mobility nicht nur gesichert hat, sondern die das Unternehmen von Beginn an methodisch aus- und weiterbildet und somit erlangt, wessen Status sich nur Wenige rühmen dürfen: Mit fortschrittlicher Pionierarbeit zum Traditionsunternehmen für hochtechnologische und maximal funktionale Sicherheit zu werden. Und das mit Sicherheit.