Safety Automotive Modellgetrieben zum technischen Sicherheitskonzept

Sicherheitskonzepte
Wie kann eine modellgetriebene und integrierte Werkzeuglösung zur Erstellung eines technischen Sicherheitskonzepts aussehen?

Mit BMW eDrive entsteht eine Antriebstechnologie für eine neue Generation von Elektro- und Hybridfahrzeugen. Die Entwicklung entlang der Sicherheitsnorm ISO 26262 rückt dabei die effiziente und effektive Erstellung von Architektur und Sicherheitskonzept auf der einen und den konsistenten Nachweis von Sicherheitsanalysen zur Verifikation auf der anderen Seite in den Fokus von Sicherheitsexperten. In diesem Kontext berichtet der Beitrag über Erfahrungen bei der Nutzung einer modellgetriebenen und integrierten Werkzeuglösung zur Erstellung eines technischen Sicherheitskonzepts.

Wachsende Komplexität von Fahrzeugfunktionen und Anforderungen aus der Elektrifizierung stellen die Automobilindustrie derzeit vor neue Herausforderungen. Insbesondere der Bereich der Hochvoltsicherheit als Kern der elektrischen Systeme mit Batterie-Management, Leistungselektronik und Ladetechnik beeinflusst grundlegend die Architektur des Fahrzeugs und die Funktionsweise der Fahrdynamik. Um dabei ein sicheres Funktionieren der Teilsysteme zu gewährleisten, begleiten Sicherheitsexperten die Entwicklung in nahezu allen Bereichen - von der Konzeptphase bis hin zum SOP und darüber hinaus. Diese Querschnittsaufgabe stellt neben Prozessanforderungen und Kommunikation zwischen Experten neue Anforderungen an das methodische Vorgehen und die dabei eingesetzten Werkzeuge. Mit der Einführung der ISO 26262 existiert seit vorletztem Jahr erstmals ein Standard, bei dem durch Festschreibung zentraler Vorgehensweisen und Arbeitsprodukte eine Basis geschaffen wurde, die die einheitliche Bewertung und den Vergleich von Konzepten ermöglicht [1].

ISO 26262 als Chance

Die Gefahrenanalyse mit Bestimmung der gefährlichen Ereignisse, die Risikobewertung mit ASIL-Einstufung und die Ableitung von Sicherheitszielen („G+R“) ermöglicht in Kombination maßgeschneiderte Sicherheitskonzepte mit Freiheitsgraden auf funktionaler und technischer Ebene. Für den elektrischen Antriebstrang mit den Teilbereichen Längsdynamik und Hochvoltsicherheit lassen sich dadurch Anforderungen aus beiden Kontexten zusammenführen. Zum Beispiel sind zusätzliche Maßnahmen aus Regulierungsnormen für elektrische Batteriesysteme, wie ECE-R100, ISO 23273-3 oder SAE J1742, besonders bei Unfallsituationen mit den Abschaltpfaden des Bordnetzes in Einklang zu bringen. Die daraus resultierenden Sicherheitsmechanismen der aktiven und passiven Entladung sowie die garantierte Momentenfreiheit der Antriebsachse im Falle von Spannungsverlust werden in einem gemeinsamen technischen Sicherheitskonzept beschrieben. Auch wenn die ISO 26262 nicht direkt auf Hochvoltgefährdungen abzielt, schafft sie für die Sicherheitsbetrachtungen den geeigneten Rahmen, die unterschiedlichen Aspekte zu integrieren.

Neben der Lösungskonzeption auf Projektebene birgt die ISO 26262 die Chance für Sicherheitsexperten, bessere Werkzeugunterstützung zu erhalten. Das liegt daran, dass trotz firmeneigener Prozesse die Inhalte der sicherheitsgerichteten Arbeitsprodukte durch die Norm in großen Teilen vereinheitlicht wurden. Somit sind Werkzeuglösungen nicht mehr für einen Kunden oder Prozess spezifisch. Dies gilt nicht nur für In-House-Lösungen, sondern insbesondere auch für den Austausch zwischen OEM und Zulieferer. Der Trend geht in Richtung einer Integration von vorhandenen Entwicklungswerkzeugen mit Lösungen für Sicherheitsanalysen, um die geforderte Traceability, Durchgängigkeit und Konsistenz effektiver zu erreichen. Als Beispiel für diese neue Generation von Werkzeugen kann die bei BMW eingesetzte Lösung „medini analyze“ gesehen werden, die neben dem Bereich der Konzeptions- und Sicherheitsanalysen, d.h. G+R, Sicherheitskonzept, FMEA, FMEDA, FTA, als Schwerpunkt Schnittstellen zu Entwicklungswerkzeugen bereitstellt [2]. Durch die Integration können Systemmodellierungen um Fehlermodelle und (Fehler-) Wirkungsketten ergänzt werden, so dass Sicherheitsanalysen direkt auf den Entwicklungsartefakten aufsetzen und sich konsistent mitentwickeln. Durch eine Kopplung wird ferner die Querschnittsaufgabe von Analysten besser unterstützt und Inkonsistenzen im Grundsatz eliminiert.

Modell mit Konzept

Das funktionale und technische Sicherheitskonzept, FuSiKo und TeSiKo, nehmen bei BMW eine herausgehobene Position bei den Sicherheitsbetrachtungen in der Entwicklung ein. Im Zuge des ISO-26262-Standardisierungsprozesses erhielten diese Vorstellungen Einzug in das methodische Vorgehen der Norm. Dabei manifestiert sich das Sicherheitskonzept in zwei Bereichen:

  • Modellierung der Systemarchitektur und der Wirkketten. Neben der Struktur und Funktion der Komponenten spielt die Modellierung von Sicherheitsmechanismen und deren Zusammenwirken eine entscheidende Rolle. Für den hybriden Antriebsstrang muss zum Beispiel das Drehmoment des Elektromotors überwacht werden und im Fehlerfalle sowohl die Momentenfreiheit der E-Achse hergestellt als auch der Verbrennungsmotor abgeschaltet werden. Das Zusammenwirken der einzelnen Teile lässt sich mit einer Modellierung von Block-Ablaufdiagrammen oder in System Modeling Language (SysML) beschreiben[3].
  • Anforderungen und deren Allokationen auf Architekturelemente. Die Allokation von sicherheitsgerichteten Anforderungen bekommen durch die ISO 26262 eine besondere Semantik: Sie vererben ihr ASIL an die Elemente der Architektur, die die Anforderungen umsetzen. Daraus resultieren für die weitere Entwicklung der Komponenten abhängig vom ASIL und möglichen Dekompositionen verschiedene Nachweis- und Dokumentationspflichten.

 

Bei diesem Vorgehen rückt das Systemmodell ins Zentrum der Betrachtung, auf das sich Anforderungen und weitere Analysen direkt beziehen können (Bild 1). Typischerweise reichern G+R, FMEA und FTA dieses Modell inhaltlich um Konzepte zur Fehlererkennung und Vermeidung an. Darüber hinaus bilden sie im optimalen Fall die Argumentationskette ab, warum die Architekturentscheidungen in exakt dieser Form realisiert wurden.

Der Einfluss von Analysen zeigt sich deshalb mindestens auf den drei Ebenen der funktionalen Architektur, auf Systemebene bei der Festlegung der Komponenten und technischen Umsetzung sowie innerhalb der Komponenten selbst. Zum Beispiel leiten sich initial die Sicherheitsfunktionen aus den Sicherheitszielen und den Gefährdungen der Gefahrenanalyse ab. Des Weiteren lassen sich in der System-FMEA Maßnahmen gegen kritische Fehler definieren, die in Änderungen der Architektur münden. Redundante Signalpfade, Plausibilisierung von Eingangsdaten oder Abschaltung von Funktionen sind hier Beispiele für Maßnahmen, die sich sowohl in Anforderungen als auch in der Architektur konsistent wiederfinden müssen. Dieser Prozess der Modellierung und Verfeinerung setzt sich letztlich bis zur Hardware-Ebene fort. Auf dieser Ebene werden die Fehlermodi aus FMEDA/Deckungsgrad-Untersuchungen als letztes Glied in die Hierarchie eingegliedert.

Für eine Umsetzung dieses Vorgehens bieten sich modellorientierte Ansätze an, die prinzipiell alle Artefakte als strukturierte Informationen begreifen und die darin enthaltenen Entitäten für Traceability und Konsistenzprüfungen zugänglich machen.