Newsletter 04/2020

Jens Michael Warmuth über das notwendige Überdenken klassischer Konzepte, wenn autonome Fahrzeuge nicht unbezahlbar werden sollen.

Funktionale Sicherheit im Systemdesign
© Alexandr Mitiuc / Fotolia.com
Funktionale Sicherheit im Systemdesign

Das Thema Funktionale Sicherheit ist schon seit geraumer Zeit überall dort ein wichtiger Bestandteil der Produktentwicklung, wo für den Menschen potentiell gefährliche Operationen von Maschinen unbeaufsichtigt ausgeführt werden. In Bezug auf elektrische und elektronische Systeme war die Notwendigkeit jedoch auf wenige Industriezweige wie Medizintechnik und Luft- und Raumfahrt beschränkt. Darüber hinaus fanden die Konzepte der Funktionalen Sicherheit nur bei Nischenprodukten Anwendung.

Dies änderte sich grundlegend als Ende des letzten Jahrhunderts, bedingt durch die zunehmende Miniaturisierung, immer mehr elektronische Steuereinheiten in Alltagsgeräten zum Einsatz kamen. So wurde 1999 die erste Version der IEC 61508 veröffentlicht, die grundlegende, industrieübergreifende Konzepte der Funktionalen Sicherheit beschreibt, die seitdem von allen Herstellern sicherheitskritischer Produkte als Stand der Technik eingehalten werden müssen. Ihr folgte eine Vielzahl industriespezifischer Normen, die die Konzepte der IEC 61508 beibehalten und für die Anwendung in ihren Industrien schärfen. Die sicherlich bekannteste dieser Normen ist die ISO26262, die sich mit der Funktionalen Sicherheit elektrischer und elektronischer Systeme in der Automobilbranche befasst.

Die Automobilbranche ist gerade in den letzten 10 Jahren als Innovationstreiber vieler Entwicklungen zu sehen und hat auch im Bereich der Funktionalen Sicherheit für einige Neuerungen gesorgt. In Zukunft wird sie ein Haupttreiber der Entwicklung weg von fail-safe hin zu fail-operational Systemen sein. Diese kommen natürlich schon länger zum Einsatz, so müssen z.B. die Ruder eines Flugzeugs auch bei einem Ausfall der Elektronik weiter funktionieren. Oft wird dies durch Redundanz, sei es klassische Redundanz oder funktionale (Diversität) erreicht, um einen Common-Cause-Failure zu vermeiden. Das war auch lange Zeit im Auto eine adäquate Lösung, da sich die Elektronik in einen sicheren Zustand, d.h. im Regelfall „aus“ versetzen ließ und der Fahrer noch mit rein mechanischen oder hydraulischen Methoden die Kontrolle über sein Fahrzeug behalten konnte. Mit dem Aufkommen autonom fahrender Autos entfällt diese Möglichkeit jedoch. Das einzige „Gehirn“, das das Auto lenkt, ist elektronisch und kann auch nur elektronisch mit dem Rest des Fahrzeugs interagieren. Zusätzlich kommt erschwerend hinzu, dass eine klassische Redundanz ebenfalls problematisch ist. Wenn das Auto autonom fährt, sind fast alle Funktionen sicherheitskritisch. Jede von ihnen redundant auszulegen würde Gewicht und Kosten so stark erhöhen, dass sie für die meisten Konsumenten nicht mehr bezahlbar wären.
Es gibt nun mehrere Möglichkeiten diesem Problem zu begegnen. Eine ist, alle Komponenten intrinsisch so zuverlässig auszulegen, dass das Risiko eines faults, der dann direkt in einen failure resultiert, gering genug ist, um gesellschaftlich akzeptiert zu sein. Dies ist heute z.B. bei einigen Microcontrollern namhafter Hersteller der Fall, gestaltet sich aber prinzipiell als schwierig, gerade wenn es sich um spezialisierte Komponenten handelt, die z.B. nur in einem Fahrzeugmodell zum Einsatz kommen sollen.

Ein weiteres Konzept ist das der Teilredundanz. Dieses liegt noch am nächsten zur klassischen Redundanz. Die Idee hierbei ist, dass in einer Notsituation nicht der volle Funktionsumfang der einzelnen Komponenten zur Verfügung stehen muss, sondern nur ihre Basis-Funktionen. So würden sich beispielsweise drei funktional unterschiedliche Komponenten mit nur einer Redundanzkomponente absichern lassen. Die einzelnen Komponenten dürfen jedoch nicht gleichzeitig ausfallen, da nur Redundanz für eine zur selben Zeit zur Verfügung steht.

Das zweite Konzept ist das in der Zuverlässigkeit schon länger angewandte Predictive-Health-Monitoring. Hierbei werden Umwelt und Stressparameter aufgezeichnet, die die Fehlerrate erhöhen können und es kann reagiert werden, wenn die Fehlerrate über dem liegt, was laut Norm toleriert werden kann. Diese Lösung verspricht sehr wenig Mehraufwand an zu verbauenden Teilen, da die internen Stressparameter oft bereits aus rein funktionalen Überlegungen heraus aufgezeichnet werden und lediglich einige Sensoren zur Messung der Umweltbedingungen verbaut werden müssen. Das Hauptproblem ist ironischerweise die Absicherung dieses Ansatzes. Es kann schwer eine statistische Wahrscheinlichkeit ermittelt werden, mit der die Aussage für den Einzelfall auch wirklich zutrifft, ohne große Sicherheitsmargen einzuhalten. Hierdurch besteht die Gefahr zu vorsichtig zu sein und ständig Komponenten zu tauschen, was wiederum zu einem Kostenproblem führt.

Die letzte hier vorgestellte Methode ist die Schadensdetektion. Hierbei wird davon ausgegangen, dass eine schadhafte Komponente nur noch sehr kurz im Einsatz bleiben muss, z. B. ein paar Sekunden bis der Stillstand am Straßenrand erreicht werden kann. Bei diesem Ansatz wird sich zu Nutzen gemacht, dass fast immer bereits ein physischer Schaden existiert, bevor es zu Problemen im elektrischen Signal kommt z. B. kann eine Lötstelle zu 80 % durchtrennt sein, bevor dies Widerstandsänderungen mit ausreichendem Signal-to-Noise-Ratio für eine Detektion im Signal hervorruft. Mit anderen Methoden z. B. thermischen Verfahren oder mit Oberflächenwellen ist es möglich, den Schaden deutlich früher zu erkennen. Somit kann bereits reagiert werden, bevor es zum fault kommt. Die Herausforderung beim Umsetzten dieses Konzepts ist, anzugeben, mit welcher Wahrscheinlichkeit die Schäden gefunden werden, was zur Angabe einer Fehlerrate notwendig ist.

Die in diesem Artikel beschriebenen Konzepte sind nur eine Auswahl der möglichen Ansätze um ein System unter reiner Betrachtung der Hardware fail-operational auszulegen und dennoch Kosten und Materialverbrauch in Grenzen zu halten und keine Kompromisse bei der Sicherheit eingehen zu müssen.