Ergänzung erforderlich Normative Anpassung der ISO 26262 aufgrund des autonomen Fahrens

Ist mit der Einführung ISO 26262 die Anpassung und Umsetzung des autonomen Fahrens gewährleistet?
Ist mit der Einführung ISO 26262 die Anpassung und Umsetzung des autonomen Fahrens gewährleistet?

Für die funktional sichere Entwicklung sicherheitskritischer E/E-Sys­teme im Fahrzeug kommt seit 2011 die Norm ISO 26262 zum Tragen. Doch mit der zukünftigen Einführung hoch- und voll­automatisierter Fahrzeuge stellt sich die Frage, ob ISO 26262 auch ­deren Umsetzung abdeckt.

In Fahrzeugen der Oberklasse wie der S-Klasse oder dem neuen 7er BMW gehören Fahrassistenzsysteme mit einer Längs- und Querführung auch bei höherer Geschwindigkeit zu einer Selbstverständlichkeit. Diese Funktionen sind jedoch nur unterstützend aktiv, das heißt sobald der Fahrer die Hände vom Lenkrad nimmt, erfolgen Warnhinweise oder eine Degradation der Funktionen. Diese neuen Funktionen sind nur durch moderne Elektrik/Elektronik möglich. Damit auch die Sicherheit des Fahrzeugs und dessen Umgebung mit diesen Funktionen gewährleistet wird, finden die Regeln der funktionalen Sicherheit aus ISO 26262 Anwendung.

ISO 26262 im Überblick

ISO 26262 [1] behandelt die funktionale Sicherheit von elektrischen/elektronischen Systemen für Kraftfahrzeuge mit einem zulässigen Gesamtgewicht bis 3,5 t. Der Standard deckt alle Bereiche eines kompletten Produktlebenszyklus ab. Die Norm besteht aus zehn Teilen. Während sich Teil 1 und 2 mit dem Vokabular bzw. dem organisatorischen Management der funktionalen Sicherheit beschäftigen, setzt die eigentliche Analyse mit der sogenannten Item-Definition ein. Im Rahmen einer Gefahren- und Risikoanalyse wird für die in der Item Definition beschriebenen Funktionen ein Automotive Safety Integrity Level (ASIL) ermittelt. Dabei berücksichtigt die ASIL-Einstufung die Schadensschwere Severity, die durch die Folgen eines möglichen Unfalls hervorgerufen werden kann, die Wahrscheinlichkeit der Fahrsituation, in der durch einen Fehler die Gefährdung auftreten kann – Probability of Expo­sure – und die Kontrollierbarkeit durch den Fahrer, die Controllability (Tabelle).

Ausgehend von der ASIL-Einstufung fordert die Norm die Erstellung eines Sicherheitskonzeptes inklusive Sicherheitsziele (Teil 3). In Teil 4 werden die benötigten Methoden für das System-Design dargestellt. Teil 5 beschäftigt sich mit der Hardware-Entwicklung. Die Anforderungen an die Software-Entwicklung werden in Teil 6 in Abhängigkeit von der ASIL-Einstufung dargestellt. Die Bereiche Produktion, Betrieb und Außerbetriebnahme werden in Teil 7 abgehandelt. In Teil 8 werden unterstützende Prozesse wie Anforderungs-, Konfiguration- oder Änderungsmanagement beschrieben. Teil 9 stellt eine Sicherheitsanalyse vor und in Teil 10 ist eine Richtlinie zur Anwendung der Norm gegeben.

Im Prinzip wird in der Konzept-Phase mit der Item-Definition begonnen. Daraufhin wird die Gefahren- und Risikoanalyse durchgeführt und die ASIL-Einstufung ermittelt. Für die Gefährdungen werden Sicherheitsziele abgeleitet, die in einem funktionalen Sicherheitskonzept umgesetzt werden. Das Konzept liefert die funktionalen Sicherheitsanforderungen, aus denen nachfolgend das technische Sicherheitskonzept entwickelt wird. Abhängig von der ASIL-Einstufung ergeben sich dann die einzelnen Anforderungen an die verschiedenen Prozesse und das System-Design.

Funktionale Sicherheit und führerloses Fahren im Schienenverkehr

Im Bahnverkehr ist bereits vor mehr als 30 Jahren der automatisierte Betrieb untersucht worden. Der spurgeführte Betrieb mit zentral gesteuerten und überwachten Fahrzeugen ist im Vergleich zum Automobilverkehr auf Straßen einfacher zu automatisieren.

Mit dem Ziel, Kosten einzusparen und eine höhere Qualität zu erreichen, wurde in Deutschland der erste automatisierte Betrieb bei der Hamburger Hochbahn im geförderten Projekt „Prozess-rechnergesteuertes U-Bahn-Automatisierungs-System Hamburg“ (PUSH) in der Zeit von 1982 bis 1985 untersucht. Das erfolgte zu einer Zeit, als die Funktionen im Fahrzeug und streckenseitig im Stellwerk noch in sicherer Relaistechnik ausgeführt waren. Erste Entwicklungen zur funktionalen Sicherheit auf Mikrocomputerbasis für Bahnanwendungen waren erfolgt, hatten aber noch keine Bewährung, als das Fahrzeugsystem für den Automatik-Betrieb auf der Basis von drei Prozessrechnern (homogene Systeme) implementiert wurde. Die Kommunikation zwischen Streckenzentrale und ausgerüstetem Fahrzeug erfolgte über Linienzugbeeinflussung (LZB). Als wesentliche Funktionen konnte damit übertragen werden:

Individuelle Führungsgrößen der Streckenzentrale an ein spezifisches Fahrzeug:

  • Sollgeschwindigkeit
  • Zielgeschwindigkeit (Höchstgeschwindigkeit am nächsten Geschwindigkeitswechsel)
  • Zielentfernung (Entfernung bis zum nächsten Geschwindigkeitswechsel)

Ist-Größen des Fahrzeugs an Streckenzentrale:

  • Position des Fahrzeugs (abgeleitet aus Kreuzungsstellen des Linienleiters und Radimpulsen)
  • Geschwindigkeit des Fahrzeugs
  • Individuelle Führungsgrößen der Streckenzentrale an spezifisches Fahrzeug

Die Fahrzeuge hatten stets einen Triebfahrzeugführer, um Kontroll- und Aufsichtsaufgaben ausführen zu lassen und die Fahrgäste nicht zu verunsichern.

Aktuell werden Flughafenbahnen, Metrosysteme und U-Bahnen im automatisierten Fahrbetrieb betrieben [2]. Ein automatisierter Fahrbetrieb ist in einer U-Bahnumgebung leichter darstellbar, weil die Komplexität im Vergleich zum allgemeinen Fern- oder Güterverkehr erheblich reduziert ist. Es sind weitgehend konstante Bedingungen gegeben, wie die Fokussierung auf den Personenverkehr, einheitliche Bahnhöfe und geschützte Tunnel. Zusätzlich sind Schienennetze in sich abgeschlossen und auf demselben technischen Standard [3]. In Deutschland ist beispielsweise in der Nürnberger U-Bahn ein automatisierter Fahrbetrieb eingeführt, in Europa gibt es einen automatischen Betrieb in Barcelona, Turin, Paris, Lille, Dubai, Kopenhagen, Rom und Wien [4]. Das längste Streckennetz mit fahrerlosem Zugbetrieb ist in Kanada zu finden – nämlich drei Linien der Vancouver SkyTrain mit einer Länge von 68,7 km [5].

Der automatisierte Fahrbetrieb im Schienenverkehr wird aufgrund des öffentlichen Linienverkehrs und der Beschränkungen durch die Spurführung generell zentral gesteuert. Exemplarisch seien hier die Aufteilung der Funktionen auf die Strecke sowie die Fahrzeuge mit dem Systemkonzept Automatic Train Control (ATC) genannt, das aus einer automatischen Zugsicherung (Automatic Train Protection ATP), einer automatischen Zugsteuerung (Automatic Train Operation ATO) und einer automatischen Zugüberwachung (Automatic Train Supervisory ATS) besteht [6].

Für E/E-Funktionen im Schienenverkehr sind die Prinzipien zur funktionalen Sicherheit in den europäischen branchenspezifischen CENELEC-Normen EN 50126ff niedergelegt, die ebenfalls, wie die ISO 26262, aus der generischen Norm IEC 61508 abgeleitet sind.

Im Grundsatz basiert die Norm EN 50126 auf einem risikoorientierten Ansatz [7]. Hierbei muss das Grenzrisiko durch geeignete Maßnahmen unter einem gesellschaftlich akzeptierten Niveau gehalten werden (Bild 1).

Die Norm beschäftigt sich mit der Spezifikation und dem Nachweis von RAMS-Systemen. RAMS steht für Reliability, Availability, Maintainability und Safety – also Zuverlässigkeit, Verfügbarkeit, Wartbarkeit und Sicherheit. Weitere normative Belange werden in EN 50128 für die Software behandelt, während die System- und Hardware-Aspekte in EN 50129 geregelt sind [8].

Nach EN 50126ff muss ein ATP-System ein Sicherheitsniveau 4 (SIL 4) erfüllen [9].

Im Vergleich der branchenspezifischen Normen für die Eisenbahn mit ISO 26262 ist festzustellen, dass dieselbe Entwurfs-Methodik, angefangen bei der Gefahren- und Risikoanalyse über die Erstellung von Sicherheitszielen bis hin zur Umsetzung in technischen Sicherheitskonzepten, angewendet wird. Ein deutlicher Unterschied besteht im Umfang der Risikoklassifizierung. Hier müssen im Bahnbereich gegebenenfalls katastrophale Schadensereignisse untersucht werden, die zur SIL-4-Einstufung führen können, während im automobilen Umfeld Schadensereignisse in der höchsten Einstufung mit ASIL D im Bahnbereich der Ebene SIL 3 entsprechen.

Die CENELEC-Normen liefern keinen Bezug zum automatisierten Betrieb. Vielmehr befassen sich heute die europäischen normativen Überlegungen mit der intelligenten Schieneninfrastruktur zur Entwicklung der Interoperabilität des grenzüberschreitenden Verkehrs (vgl. [10]).

In Deutschland sind spezifische Anforderungen für den Fahrbetrieb ohne Fahrzeugführer vom Bund-Länder-Ausschuss zur Verordnung über den Bau und Betrieb der Straßenbahnen (BLFA BOStrab) erarbeitet und durch das Bundesministerium für Verkehr herausgegeben worden, die für den automatisierten U-Bahn-Betrieb Geltungsbereich haben [11]. Dabei handelt es sich um konkrete Bedingungen (Auszug) für den sicheren Betrieb mit Vorgaben zur Spannungsabschaltung, der Bergung von Passagieren, dem Aufbau von Haltestellen sowie mit Anforderungen für Notschalter und Türsteuerungen.

Es zeigt sich, dass die Gesamtheit der Sicherheitsanforderungen nicht auf autonomes Fahren auf der Straße übertragbar ist. Die Spurführung und die Kontrollmöglichkeit durch eine Leitstelle sind nicht für den Individualverkehr geeignet. Der Straßenverkehr erfordert eine Vielzahl von Abzweigen und Haltemöglichkeiten sowie mehrspurige Fahrbahnen mit der Möglichkeit für Überholvorgänge.

Interessant ist zu erwähnen, dass der automatisierte Testbetrieb im oben genannten PUSH-Projekt von der Öffentlichkeit nicht akzeptiert wurde und zum Abbruch führte. Nach dem Projekt hat es mehr als ein Jahrzehnt gedauert, bis der automatisierte Betrieb im Bahn-Nahverkehrsbereich angenommen wurde.

Neben dem Vergleich mit dem Schienenverkehr wird auch auf andere Zweige wie die Luft- und Raumfahrt verwiesen. Hier gibt es auch automatisierte Einsatzbereiche, zum Beispiel der Autopilot oder Drohnen.