Was ist eigentlich Funktionale Sicherheit?

Die Komplexität der Fahrzeugtechnik hat sich in den letzten Jahren sehr schnell weiterentwickelt. Wo früher mechanische Bauteile verbaut waren, finden sich in heutigen Fahrzeugen sehr viele Steuergeräte mit sogenannter embedded Software.  
Airbags, elektronische Stabilitätsprogramme oder Antiblockiersysteme verschaffen dem Fahrer einerseits Sicherheit. Es kann aber andererseits auch zu einem Risiko durch Soft- oder Hardwarefehler kommen. Sind damit Systemausfälle verbunden, entsteht ein Sicherheitsrisiko, welches Insassen oder Außenstehende gefährden kann. Mögliche Folgen sind schwere Verletzungen oder im schlimmsten Fall  sogar der Tod.  
Ein Fehler in der elektronischen Wegfahrsperre kann zum Beispiel zu einem Verriegeln des Lenkrades während der Fahrt führen. Der Fahrer kann das Fahrzeug dann nicht mehr lenken. Daraus ergibt sich vor allem bei schneller Fahrt eine erhebliche Gefahr für Leib und Leben aller Insassen und anderer Verkehrsteilnehmer.  
Um Fehler zu identifizieren und zu vermeiden, müssen Sicherheitsmechanismen im Produkt vorhanden sein, die dieses Risiko auf ein vertretbares „von der Gesellschaft akzeptiertes“ Minimum reduzieren. Bestehende Qualitätsmanagementsysteme reichen wegen fehlender Vorgaben zu Sicherheitsmaßnahmen nicht aus, um die hohen Anforderungen abzudecken. Schnittstellen sind allerdings viele vorhanden.  
 
Auf Basis dieser Erkenntnisse wurde der Begriff der „Funktionalen Sicherheit“  (FuSi) eingeführt. Die Funktionale Sicherheit ist nach ISO 26262 als „Fehlen von unverhältnismäßigen Risiken aufgrund von Gefährdungen durch Fehlfunktionen von E/E Systemen“ definiert.  
 
Wenn das Risiko, das von den Fehlfunktionen der E/E-Systeme in Fahrzeugen ausgeht, auf ein akzeptiertes Maß reduziert wurde, spricht man von funktionaler Sicherheit. Das bedeutet, dass ein System in der Lage ist, beim Auftreten eines Fehlers, einen sogenannten „Sicheren Zustand“ herzustellen. Eine Gefahrensituation für Fahrer, Beifahrer oder andere Beteiligte entsteht gar nicht erst. In diesem sicheren Zustand ist das Risiko eines Unfalls aufgrund eines Systemausfalls gering. Die FuSi konzentriert sich primär auf Elektrik und Elektronik und schließt die Softwareentwicklung mit ein. Sie wird als Königsdisziplin der Ingenieurskunst bezeichnet.  

Gibt es eine Norm zu diesem Thema? 

Ja, die gibt es. Zum Thema FuSi gibt es mehrere Normen. Für die Automobilindustrie ist die ISO 26262 vorgesehen. Sie ist eine branchenspezifische Adaption der IEC 61508.  
Die ISO 26262 „Functional Safety – Road vehicles“ ist eine Norm, die die Funktionale Sicherheit in Fahrzeugen beschreibt und 2011 veröffentlicht wurde.

Ursprünglich war die Norm für Personenkraftwagen unter 3,5 Tonnen gültig. Seit der 2. Auflage im Jahr 2018 sind auch LKW, Busse und Motorräder integriert. Die Norm bezieht sich ausschließlich auf Serienfahrzeuge. Sonderfahrzeuge, wie z. B. behindertengerecht umgebaute Fahrzeuge, sind also von der Norm ausgeschlossen.  
Die Fahrzeugentwicklung nach dieser Norm ist inzwischen eine Anforderung von vielen Herstellern und damit die Basis dafür, dass ein Auftrag überhaupt zustande kommt. 

 
Wo ist der Unterschied zwischen Safety und Security? 

Da die ISO 26262 lediglich in englischer Sprache miedergeschrieben ist, muss man den Sicherheitsbegriff etwas differenzieren. Sicherheit, wird sowohl mit Security als auch mit Safety übersetzt.
„Security“ beschreibt den Schutz des Systems vor Gefahren und Risiken, die von außerhalb einwirken. Hier wird das System vor dem Menschen geschützt, z. B. einem Hackerangriff. Diese „Sicherheit“ behandelt z. B. die Cyber Security.  
Unter „Safety“ hingegen versteht man den Schutz vor Risiken und Gefahren, die vom System ausgehen. Die Risiken müssen auf ein akzeptables Minimum reduziert werden, damit der Mensch vor den Auswirkungen von Fehlfunktionen geschützt ist.  
Ein System ist laut ISO 26262 "sicher", wenn es frei von nicht akzeptablen Risiken ist. 

 
Was ist ein Risiko im Zusammenhang mit der ISO 26262? 

Risiko wird im Allgemeinen als Wahrscheinlichkeit x Ausmaß beschrieben.  
Bei der FuSi (Funktionale Sicherheit) ist allerdings nicht die Wahrscheinlichkeit einer Fehlfunktion allgemein gemeint. Es geht dabei um die Beurteilung der Wahrscheinlichkeit, dass ein Schaden (für den Menschen) bei einer bereits vorhandenen Fehlfunktion auftritt. 
Das Ausmaß beschreibt das Schadensausmaß, welches durch eine E-/E-Fehlfunktion verursacht wird.

Wie wird das Risiko ermittelt und wie wird festgelegt, wann ich welchen Handlungsbedarf habe? 

Zunächst müssen potenzielle Risiken identifiziert werden. Dies geschieht meist bereits im Rahmen einer FMEA, wie sie schon von der ISO 9001 gefordert wird. Hier sind also bereits erste Schnittstellen zu sehen. 
Die Durchführung einer Gefahren- und Risikoanalyse wird von der ISO 26262 als Methode zur Ermittlung des Risikos vorgeschrieben.  
Dort wird dann für jede Funktion des Bauteils das Risiko betrachtet und analysiert. Durch diese Analyse ergibt sich dann der ASIL der jeweiligen Funktion. 

 
Was ist der ASIL?  

Der ASIL ist der Automotive Safety Integrity Level und ist das festgelegte Maß für das Risiko von Funktionen/Systemen im Automobil. Wird ein Risiko ohne zusätzliche Maßnahmen nicht akzeptiert, „ist es also zu hoch“, erhält man einen ASIL.  

Gibt es noch Abstufungen bei der ASIL Bewertung? 

Ja - es handelt sich sogar um eine 5-stufige Skala, welche von QM und ASIL A bis ASIL D reicht. Ein QM bedeutet, dass normale, meist bereits durchgeführte Qualitätsmanagement-Maßnahmen zur Absicherung ausreichen.  

Beim ASIL D werden die weitreichendsten zusätzlichen Maßnahmen zur Risikoreduktion gefordert. Hier ist das Risiko, berechnet anhand von Schadensausmaß und Eintrittswahrscheinlichkeit, am höchsten.