Woran Entwickler nicht immer denken
Vorhersehbarer Fehlgebrauch bei »Funktionaler Sicherheit«
Fortsetzung des Artikels von Teil 2
Notlauf
Ein offener Punkt ist die Frage, ob der vom Hersteller vorgesehene Notlauf ein bestimmungsgemäßer Gebrauch ist, zu dem man sich auch wieder Gedanken über Möglichkeiten des Fehlgebrauchs machen müsste. Das betrifft beispielsweise das Notrad auf der angetriebenen Achse. Zum Schutz des Differenzials werden in der Anleitung meist eine Höchstgeschwindigkeit und eine maximale Fahrtstrecke angegeben. Ohne Notrad im Fahrzeug und ohne Anleitung wäre sicher bereits die Montage eines Rades mit falschem Abrollumfang ein Fehlgebrauch. Aber wenn der Hersteller es mitliefert, gehört die Verwendung des Notrades sicher noch zum normalen Gebrauch, schließlich wird die Montage in der Bedienungsanleitung beschrieben.
Lessons learned
Erfahrungen sollen in den Entwicklungsprozess zurückfließen – das zumindest fordern viele Normen und Regelwerke. Dazu sollte ein Prozess etabliert sein, der zuverlässig und strukturiert die Erfahrungen von ihrer Quelle (Feldbeobachtung, Kundenbefragung, Hinweise von Mitarbeitern) in die Entwicklungsdokumente (FMEA, G+R) bringt.
Beweisbarkeit
Schließlich bleibt noch die Beweisfrage: Wie lässt sich nachweisen, dass es Missbrauch und nicht Fehlgebrauch war, wenn der Schaden eingetreten ist? Hier können konstruktive Maßnahmen helfen. Ein Beispiel: Smartphones besitzen im Inneren Indikatoren für eindringende Feuchtigkeit, bei manchen Geräten ist der Indikator in Buchsen am Gehäuse verbaut, sodass der Zustand auch von außen erkannt werden kann.
Die Rolle der Werkstatt
Fast jeder kennt den Satz des Werkstattmeisters, der ein Problem beim Fahrzeug nicht finden konnte: »Beobachten Sie es weiter!«. Wenn Anweisungen von der Werkstatt der eigenen Marke oder dem Werkskundendienst an den Benutzer adressiert werden, so kann man in diesen Fällen eher die Anleitung zu bestimmungsgemäßem Gebrauch als von Anstiftung zum Fehlgebrauch annehmen – auch wenn die vom Benutzer durchgeführte Handlung objektiv ein Fehlgebrauch wäre. Daraus folgt, dass auch Servicemitarbeiter das Risiko des Fehlgebrauchs für das Produkt kennen sollten und entsprechend geschult werden müssen.
Jobangebote+ passend zum Thema
Cyber-Security
Ein Restrisiko der besonderen Art stellten Cyber-Angriffe dar. Dabei geht es weniger um die Angriffsszenarien an sich. Im Sinne des Fehlgebrauchs ist die ungewollte Mitwirkung des Benutzers zu betrachten. Seit das Internet vor vielleicht 20 Jahren in den Alltag der normalen Benutzer eintrat, ist eine typische Angriffsform bekannt, die beispielsweise als Phishing-Mail kommt: Der Nutzer soll etwas ganz wichtiges anklicken, womit er in Wahrheit dem Cyber-Angriff die Einfallstore öffnet.
Aus heutiger Sicht stellt sich natürlich die Frage, ob solche Benutzer die Anforderungen an den aufmerksamen und verständigen Benutzer erfüllen, die der EuGH formuliert hat, oder eine intellektuelle Fehlleistung des Benutzers den Fehl ausschließt. Andererseits ist die Gefahr seit vielen Jahren bekannt und so bleibt die Frage, ob zukünftige Technologien zur V2X-Kommunikation oder der Kommunikation von fremden Smartphones über die Fahrzeuginfrastruktur solchen Bedrohungen ausreichend widerstehen werden. Im ungünstigsten Fall werden sich einige beklagte Firmen von einem Gericht anhören müssen, dass es sich angesichts des Massenphänomens Phishing eher um Nachlässigkeit beim Benutzer und damit um Fehlgebrauch handeln könnte. Aber derzeit sind das nur Vermutungen. Bis zur Klärung, welche Entscheidungen in solchen Fällen wirklich getroffen werden, werden wohl noch einige Jahre vergehen
Maßnahmen festlegen
Zunächst bieten sich technische Regeln an, um Möglichkeiten des Fehlgebrauchs einzuschränken:
- Konstruktion vor Instruktion: Den Fehlgebrauch durch technische Maßnahmen verhindern, statt ihn per Bedienungsanleitung zu verbieten.
- Verformung vor Versagen: Fehlbedienung wird konstruktiv in ein weniger kritisches Versagen verändert.
- Technische Schutzeinrichtungen wie Sollbruchstellen, Überlastsicherungen und Begrenzungen verhindern den gefährlichen Ausfall.
- Benutzerinformation am Ort der Gefahr, beispielsweise als Kontext-sensitive Hilfe, wenn der Fahrer das Fahrwerks-Setup verändern möchte, oder als Aufkleber an der Gefahrenstelle, zum Beispiel »Lüfter kann auch bei abgeschaltetem Motor anlaufen«.
- Warnhinweise als Lampen, Aufkleber – wobei möglichst bekannte Sym¬bole benutzt werden sollten.
- Zugangsbarrieren wie Schnapphaken (Clipse) oder Einwegschrauben, damit der Benutzer nicht selbst das Produkt manipulieren kann, ohne dass er Spuren verursacht.
- Bug-to-Feature: Wäre eine bestimmte Benutzung tatsächlich eine Fehlbedienung? Vielleicht hat die Entwicklung übersehen, dass sich aus einer Fehlbedienung eine nützliche Funktion entwickeln lässt, die sogar zum Kauf animiert.
Maßnahmen organisatorischer Art können sein:
- Erweiterung von Prozessdefinitionen, um den Fehlgebrauch bei der Entwicklung an geeigneter Stelle zu berücksichtigen, und der bereits genannte Prozess, damit erkannter Fehlgebrauch in das Wissen der Entwicklung übergeht.
- Brainstormings, um beispielsweise in der FMEA Möglichkeiten zu identifizieren und zu bewerten.
- Dokumente, um später Nachweise einer qualifizierten Beurteilung von Gebrauch als bestimmungsgemäß, Fehlgebrauch oder Missbrauch zu führen.
Interne Leitfäden können den Umgang mit vorhersehbarem Fehlgebrauch erleichtern, indem sie für die Entwickler und neue Mitarbeiter eine Einführung bieten. Hier sollte man sich nicht vor der Beschreibung von Fehlern der Vergangenheit scheuen, denn aus einem Fehler lässt sich oft mehr lernen, als aus einer trockenen Anleitung zum richtigen Vorgehen.
Beispiele
Zum Schluss noch ein paar praktische Beispiele für möglichen Fehlgebrauch:
- Heißer Kaffee, klebrige Getränke oder Reinigungsflüssigkeiten fließen über Bedienelemente im Innenraum.
- Anwendung silikonhaltiger Pflegemittel in der Nähe von elektromechanischen Kontakten.
- Falsches, zu wenig oder zu viel Öl eingefüllt.
- Hand ruht zu lange auf einem Bedienelement (Beschädigung von Schaltgabeln [8], Belastung durch Schadstoffe).
- Eindringen von Sand, Staub oder Schmutz durch Einfüllöffnungen, deren Deckel verloren gingen.
- Steckverbinder, die dem 230-V-Schuko-System gleichen, beispielsweise für Grenzwertgeber (Öltanks) oder Pedelecs (36 V Gleichspannung).
- Starthilfe beim Pkw (12 V) durch Lkw (24 V).
Die Erfahrung zeigt, dass viele der Fehlerbilder, die durch Fehlgebrauch entstehen können, Folgefehler verursachen, die bereits durch andere Maßnahmen aufgedeckt werden.
Literatur und Links:
[1] Richtlinie 2001/95/EG des Europäischen Rates vom 3. Dezember 2001 über die allgemeine Produktsicherheit.
[2] ISO 26262:2011 »Road vehicles – Functional safety«, Second Edition für 2018 geplant.
[3] IEC 61508:2010, deutsche Fassung VDE 0803:2011 »Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme«.
[4] BGH, 16.06.2009 - VI ZR 107/08 zum Schlaganfall wegen einer Fehlauslösung eines Seitenairbags.
[5] BAuA – Bundesanstalt für Arbeitsschutz und Arbeitsmedizin, Dortmund, Vortrag von Wiss. Dir. Dr. Hans-Jörg Windberg, www.bfr.bund.de/cm/343/positionen_der_baua_zur_produktsicherheit.pdf
[6] Urteil des EuGH C-210/96 www.kostenlose-urteile.de/EuGH_C-21096_Sechs-Korn-Eier-Fall-Bei-der-Beurteilung-ueber-eine-irrefuehrende-Lebensmittelverpackung-ist-auf-den-durchschnittlich-informierten-Verbraucher-abzustellen.news12383.htm
[7] EuGH C-210/96 vom 16. Juli 1998, Entscheidung über Artikel 10 der Verordnung (EWG) Nr. 1907/90 »über bestimmte Vermarktungsnormen für Eier«, siehe auch Pressemitteilung Nr. 48/98 des EuGH.
[8] Bedienungshandbuch des Golf 1.
Der Autor
Dr. Ralf Pfeifer
studierte Maschinenbau am Institut für Kraftfahrwesen (ika) der RWTH Aachen und promovierte am Institut für Biomechanik an der Deutschen Sporthochschule Köln. Dr. Pfeifer war bis Februar 2011 zehn Jahre als Programm Manager bei GKN Driveline im Entwicklungszentrum Lohmar tätig. Seit 2011 ist er für ZF Friedrichshafen als Functional Safety Manager zuständig.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Sicherheit vernetzter Fahrzeuge
Prävention durch »SafeCAN« von Karamba Security
Personalie
Vorstandsvorsitzender Dr. Stefan Sommer verlässt ZF
Vector Informatik und Sysgo
Joint-Venture zur Entwicklung von Embedded-Software
STMicroelectronics / Safety
Sicherheitsgerichtete High-Side-Schalter
Software- und Algorithmenentwicklung
ZF erweitert Entwicklungskapazitäten für autonomes Fahren
Automotive-Aftermarket durch Vernetzung
Marktplatz für Daten- und Mobilitätsleistungen von Caruso
Kamerabasierte Fahrerassistenzsysteme
ZF investiert in neue Kameragenerationen
