
Maßgeschneiderter Fusi-Prozess für Prototyp-Fahrzeuge
Funktionale Sicherheit
Für die Funktionale Sicherheit (FuSi) von in Serie produzierten Straßenfahrzeugen definiert die Norm ISO26262 einen umfangreichen Entwicklungsprozess vom Konzept bis zur Produktion. Für Prototyp- und Demonstratorfahrzeuge gibt es dagegen keine normativen Vorgaben, und die Anwendung der ISO26262 wäre viel zu aufwändig für den Umfang einer Prototypentwicklung. Trotzdem ist die Berücksichtigung der Funktionalen Sicherheit auch bei Prototypen notwendig, um den Fahrer, die Mitfahrer und die Personen in der Nähe des Fahrzeugs vor Schäden zu schützen, die durch eine Fehlfunktion verursacht werden könnten. Die Dokumentation der FuSi-Aktivitäten ist essentiell, da nur auf diese Weise belegt werden kann, dass Funktionale Sicherheit berücksichtigt wurde und Sicherheitsmechanismen implementiert wurden.
Daher wurde bei FEV ein maßgeschneiderter FuSi-Prozess für Prototypen entwickelt, der auf den wesentlichen Schritten der in der ISO26262 beschriebenen Konzeptphase basiert, dies jedoch in vereinfachter Form. Die Schritte bestehen aus der vorläufigen Systemdefinition, einer vereinfachten Gefahren- und Risikoanalyse (GuR), sowie der Definition von Sicherheitsmaßnahmen, die im Prototyp-Fahrzeug umzusetzen sind. Darüber hinaus beinhaltet der Prozess eine Überarbeitungs-Schleife, um das verbleibende Risiko in Kombination mit den Sicherheitsmaßnahmen zu bewerten (Abbildung 1).

Vorläufige Systemdefinition
In diesem Artikel wird die Umwandlung eines konventionellen Antriebsstrangs in einen P2-Hybrid-Antriebsstrang als Beispiel für die Prototypanwendung betrachtet. Neben der Integration eines Hochvolt-Bordnetzes ist auch die Modifikation des Antriebsstrangs selbst ein sicherheitsrelevanter Aspekt, wie anhand einer seiner Hauptfunktionen gezeigt wird, dem elektrischen Fahrbetrieb.
Die vorläufige Systemdefinition beschreibt alle Funktionen, Betriebsarten, Schnittstellen und Betriebsbedingungen des zu betrachtenden Systems, also in unserem Beispiel des P2-Hybridsystems. Diese Informationen sind entscheidend für die Bestimmung potentieller Risiken, die durch Fehlfunktionen des Systems verursacht werden können.
Vereinfachte Gefahren- und Risikoanalyse
Die wesentlichen Schritte für die Gefahren- und Risikoanalyse (GuR) sind die Auswahl der relevanten Betriebssituationen für das Prototyp-Fahrzeug, die Funktionale Gefahrenanalyse (FGA) und die Risikobewertung der resultierenden Gefahrensituationen.
Die FGA weist jeder Funktion standardisierte Fehlfunktionen zu (kein, zu viel, zu wenig, falsche Richtung/Verteilung, ungewollt, hängengeblieben). In Kombination mit der jeweiligen Betriebssituation ergeben sich im nächsten Schritt die Gefahrensituationen. Ein Beispiel für die Funktion „Elektrisches Fahren“ des Prototyp-Fahrzeugs gliedert sich wie folgt:
- Funktion: Elektrisches Fahren
- Betriebssituation: Fahrzeug steht an Ampel oder Kreuzung
- Fehlfunktion: Ungewolltes Drehmoment
- Gefahrensituation: Ungewollte Fahrzeugbewegung, die zu einer Kollision mit einem vorbeifahrenden Fahrzeug führt.
Die Risikobewertung einer solchen Gefahrensituation basiert auf drei Kriterien, die in der ISO26262 definiert werden. Exposition (E = Exposure) steht für die Häufigkeit der Betriebssituation – nicht der Gefahrensituation. Die Schadensschwere (S = Severity) ist die Bewertung der gesundheitlichen Schäden, die jemandem zugefügt werden. Und die Kontrollierbarkeit (C = Controllability) ist ein Maß für die Fähigkeit des Fahrers, den Schaden durch sein Eingreifen zu vermeiden. Da die genaue Bestimmung dieser Parameter recht zeitaufwändig ist, wird ein vereinfachter, konservativer Bewertungskatalog für die Prototyp-Anwendung benutzt, und anstelle des in ISO26262 definierten Automotive Safety Integrity Level (ASIL) wird eine Risikostufe ermittelt (Abbildung 2).

Die initiale Bewertung für das oben genannte Beispiel lautet:
- Exposition für stehendes Fahrzeug an Ampel oder Kreuzung: E = 3
- Schadensschwere für Kollision mit vorbeifahrendem Fahrzeug: S = 3
- Kontrollierbarkeit für ungewollte Fahrzeugbewegung: C = 2
Die C-Bewertung hängt von einigen Randbedingungen ab. Im Beispiel ist das maximal an den Antriebsrädern anliegende Drehmoment, das der Elektromotor erzeugen kann, niedriger als das Bremsmoment, das der Fahrer durch Treten des Bremspedals aufbringen kann. Wenn eine solche Randbedingung nicht erfüllt wird oder nicht sichergestellt werden kann, muss eine konservativere Bewertung vorgenommen werden.
Mit E + C = 5 und S = 3 ergibt sich ein „Mittleres Risiko“, welches Sicherheitsmaßnahmen erforderlich macht, wie im folgenden Abschnitt beschrieben wird.
Herleitung von Sicherheitsmaßnahmen
Um die Risikostufe “Akzeptabel” zu erreichen, sind Sicherheitsmaßnahmen vorzusehen (Abbildung 3).

Für das vorangegangene Beispiel kann das “Mittlere Risiko” in mehreren Schritten auf ein “Akzeptables Risiko” reduziert werden. Als erstes wird ein Notaus-Schalter installiert, der das elektrische Antriebssystem ausschaltet. Der Fahrer ist in der Bedienung dieses Schalters zu schulen, zum Beispiel durch Einleitung des Fehlers auf der Teststrecke. Nur geschulte Fahrer werden autorisiert, das Fahrzeug im Stadtverkehr zu bewegen, was beispielsweise durch ein Fahrtenbuch zu dokumentieren ist. Durch diese Maßnahme wird die C-Bewertung von 2 auf 1 reduziert. Dies führt gemäß Abbildung 2 zur Risikostufe „Niedrig“, so dass weitere Maßnahmen nötig sind. Beispielsweise kann der Betrieb des Prototyp-Fahrzeugs auf Fahrzyklen eingeschränkt werden, in denen das Fahrzeug in weniger als ein Prozent der Betriebszeit an Ampeln oder Kreuzungen steht. Dadurch sinkt die E-Bewertung von 3 auf 2, und es ergibt sich die Risikostufe „Akzeptabel“.
Da das Beispiel in diesem Beitrag nur eine Situation aus vielen möglichen Szenarien beschreibt, könnten für diese Fahrzeuganwendung andere Risiken mit der Stufe „Hoch“ bewertet werden und daher weitere Sicherheitsmaßnahmen wie zum Beispiel Überwachungsfunktionen erfordern. Solche Maßnahmen könnten dann auch für die Minderung von niedriger bewerteten Risiken verwendet werden, so dass Beschränkungen der Fahrzyklen oder der Fahrzeugbedienung vermieden würden.
Für die Vervollständigung des vereinfachten FuSi-Prozesses ist es wichtig, dass die spezifizierten Sicherheitsmaßnahmen umgesetzt und getestet werden, bevor die eigentlichen Untersuchungen am Prototypfahrzeug starten. Dies kann durch Checklisten und Fahrzeugtests auf der Teststrecke sichergestellt werden.
Neben der Erfüllung technischer Ziele ist eine strikte Einhaltung eines sicherheitsbezogenen Entwicklungs- und Freigabeprozesses auch für Prototype-Anwendungen erforderlich. FEV hat dafür den beschriebenen Prototyp-Prozess entwickelt und bereits in mehreren Projekten erfolgreich angewendet.
