Woran Entwickler nicht immer denken Vorhersehbarer Fehlgebrauch bei »Funktionaler Sicherheit«

Gefährliches Versagen des Produktes vermeiden und marktfähig machen.
Gefährliches Versagen des Produktes vermeiden und marktfähig machen.

Vorhersehbarer Fehlgebrauch verpflichtet die Entwickler, sich über tatsächliche Gebrauchsmöglichkeiten ihres Produktes Gedanken zu machen. Die Methoden der ISO 26262 lassen sich sinnvoll einbeziehen, um ein Produkt marktfähig zu machen.

Stellen Sie sich vor, Sie haben gerade ein neues Auto gekauft. Es fährt bis zu 250 km/h, weshalb für genau diese Motorisierung ein erheblicher Aufpreis gezahlt wurde. In der Bedienungsanleitung steht jedoch die Warnung »Dieses Fahrzeug ist nicht geeignet, um schneller als 130 km/h zu fahren. Der Hersteller haftet nicht für Schäden, die durch eine schnellere Fahrweise entstehen könnten.« oder womöglich heißt es, »Wenn man mit Geschwindigkeiten zwischen 130 km/h bis 170 km/h fahren will, benötigt man zwingend den Zertifikatslehrgang Nürburgring A«. Was nun? Kann sich der Hersteller so leicht der Verantwortung für sein Produkt entziehen?

Natürlich ist das ein fiktives Beispiel, und in diesem Beitrag soll auch nicht darüber diskutiert werden, ob durch diese Einschränkungen Rechte aus Verletzungen des Kaufvertrages zustehen. Die Ausgangssituation lautet: Der Käufer ignoriert diese Warnung ganz einfach und fährt schneller als es die Bedienungsanleitung erlaubt. Hätte der Entwickler sich auf den Schutz durch eine wohlformulierte und anwaltlich gegengelesene Warnung in der Bedienungsanleitung verlassen können?

Der Gesetzgeber

Der Gesetzgeber hat Fälle dieser Art geahnt: Ein Produkt wird in Verkehr gebracht und die Bedienungsanleitung schränkt den Gebrauch ein. Das kann böswillig sein, weil ein raffinierter Hersteller sich so aus der Produktverantwortung stehlen will. Bei komplexen Produkten ist es vielleicht eher so, dass sich die Entwickler nicht sicher sind, wie weit sie auf die Vernunft der Anwender setzen können – eine Kreissäge sägt schneller und ist nun mal gefährlicher als eine Laubsäge; das bedeutet aber nicht zwingend, dass die Anwender nun vorsichtiger kreissägen.

Das aufgrund einer EU-Richtlinie [1] entwickelte Produktsicherheitsgesetz (ProdSG) stärkt die Position des Benutzers und stellt an das Produkt die Anforderung, dass es nicht gefährlich versagen darf, wenn der Benutzer sich nicht an die Bedienungsanleitung hält.

Wichtig ist im folgenden Beitrag die Terminologie, die sich im Laufe der Zeit wie auch in den Publikationen änderte. Die herausragenden Begriffe (Bild 1) sind:

  • Beim bestimmungsgemäßen Gebrauch folgt der Benutzer der Bedienungsanleitung mit all ihren Hinweisen oder Warnungen.
  • Unvorhersehbarer Gebrauch oder vorhersehbarer Fehlgebrauch (Foreseeable Misuse) ist der Gebrauch, den die Entwickler am liebsten ausschließen möchten, der aber immer wieder vorkommt und der vom Hersteller immer wieder betrachtet werden muss.
  • Beim Missbrauch (Abuse) erwartet der Gesetzgeber offenbar, dass der Benutzer diesen selbst erkennen kann und hat daher keine Schutzvorschriften formuliert.
  • Der gefährliche Ausfall darf weder beim bestimmungsgemäßen noch beim vorhersehbaren Gebrauch vorkommen, wobei der Fokus auf Gefahr für Personen liegt [1, Kap. 1, Art. 2b, 2c].

Darüber hinaus kennt die IEC 61508 (hier aus der deutschen Übersetzung der VDE 0803 zitiert) die »Fehlbedienung«, die »böswillige Handlung« und die »nichtautorisierte Handlung«.

Weitere terminologische Feinheiten werden in diesem Beitrag nicht betrachtet. Wenn beispielsweise in Gesetzestexten die Verantwortlichkeiten differenziert und alle möglichen Adressaten als »Wirtschaftsakteure« zusammengefasst werden, steht hier einfach nur »Hersteller«.

Alle genannten Begriffe mit Bezug zur Technik sind schwammig (Tabelle 1). Daran kann dieser Beitrag wenig ändern, denn das Ziel ist nicht die Fortbildung des Rechts, sondern vielmehr soll ein Rahmen für eine sinnvolle Interpretation durch Ingenieure vorgestellt werden.

Inhalte der Normen

Die ISO 26262:2011 [2] greift den Fehlgebrauch im Wesentlichen in Notes und Examples auf. In Part 1 fehlt er im Abschnitt »Terms and Definitions«. Weitere Erwähnung findet der Fehlgebrauch hier (in [eckigen Klammern] aus der ISO/CD 26262:2018 zitiert):

  • Part 3 Clause 7.4.3.7 Note 2: »… in Table B4 [B6] reasonably foreseeable misuse is considered …«
  • Part 3 Annex B (informative) B.1 a) »… hazard identification … reasonably foreseeable driver use and misuse; and …«
  • Part 4 Clause 9.4.3.4 [9.4.3.2] Note: »Controllability can be validated using operating scenarios, including intended use and foreseeable misuse.«
  • Part 7 Clause 6.4.1.4 e) »the warnings regarding safety-related innovative functions of the item that could lead to driver’s misunderstanding or misuse. EXAMPLE A misuse …«
  • Part 8 Clause 11.4.9.2 Validation of SW tool, c) »the reaction of the software tool to anomalous operating conditions shall be examined; EXAMPLE Foreseeable misuse …«
  • Part 10 Clause 6.4.2 [6.4.3] »… (a situation that corres¬ponds to a reasonably foreseeable misuse) …«
  • [12-Annex A (informative) A1 a) »… hazard identification … reasonably foreseeable rider use and misuse; and …«.

Indirekt gehören zur Item-Definition (Part 3 Clause 5.4.1 c) auch »Legal Requirements«, wozu ohne Zweifel auch Produktsicherheitsgesetze zählen sollten.

Konkreter wird die IEC 61508 [3] in Teil 1, Tab. 1 zur Gefahren und Risikoanalyse: »Die Gefährdungen, gefährlichen Vorfälle und Gefährdungssituationen, Bezug auf die EUC und das EUC-Leit- oder Steuerungssystem (in allen Betriebsarten) für alle vernünftigerweise vorhersehbaren Umstände, einschließlich Fehlerbedingungen und vernünftigerweise vorhersehbarer Fehlanwendung (siehe 3.1.14, IEC 61508-4), bestimmen.« Nach Teil 1 Abschnitt 7.4.2.3 umfasst das auch »[…] einschließlich Fehlerbedingungen, vernünftigerweise vorhersehbarer Fehlanwendung und böswilliger oder nicht autorisierter Handlung.«

Die Frage ist natürlich, wie weit die Normen den Fehlgebrauch thematisieren sollten, denn die Art, systematische und zufällige Fehler zu beherrschen, ändert wenig an der Ursache. Inhaltlich ist Fehlgebrauch daher eher eine Erweiterung des Blickwinkels auf das Produkt, der sich in verschiedenen Arbeitsprodukten der ISO 26262 widerspiegeln würde:

  • Betrachtung in der Gefahren- und Risikoanalyse / Hazard and Risk Analysis
  • Aufnahme in die FMEA
  • Lessons learned aus der Produktbeobachtung.