Die szenariobasierte Gefahrenanalyse und Risikobewertung (HARA) ist ein effektiver und realistischer Ansatz zur Identifizierung der Fähigkeit zum autonomen Fahren (z. B. SAE/NHTSA-Klassifizierung für autonomes Fahren). Beim autonomen Fahren, wenn das System über Sensoren (Fusion) und Aktoren tiefgreifend mit der Umgebung interagiert, muss der Risikofaktor vom Ausfallverhalten des E/E-Systems auf die beabsichtigte funktionale Sicherheit (SOTIF) einschließlich Cybersicherheit ausgeweitet werden. Szenariobasiertes HARA kann die Gefahren der funktionalen Sicherheit (FuSa) und SOTIF analysieren, muss jedoch die Beziehung und gegenseitige Abhängigkeit zwischen ihnen auf systematische Weise darstellen. Darüber hinaus werden leistungsstarke Methoden wie die Systemtheoretische Prozessanalyse (STPA) zur Identifizierung, Definition und Analyse von Gefahren eingesetzt, nicht jedoch zur Risikobewertung. Daher schlagen wir ein erweitertes HARA vor, das FuSa und SOTIF vereint. Insbesondere betrachten wir (a) funktionale Szenendarstellung und Szenenauswahl (z. B. Abgrenzen von Basis- und Unfallszenen in HARA) und (b) Möglichkeiten, gleichzeitig die Beziehungen und Interaktionen von FuSa und SOTIF für jede HAD-Funktion zu finden. Darüber hinaus demonstrieren wir den szenariobasierten erweiterten HARA-Ansatz, indem wir das Verfahren in einem Anwendungsfall (Lateral Navigation Assist System) implementieren.
1. Einleitung
Aktuelle Technologietrends zeigen deutlich, dass die Automobilindustrie bei der Entwicklung hochautomatisierter Fahrfunktionen (HAD) und/oder ADS höchste Priorität auf Sicherheit legt. ADS-Fahrzeuge sind in der Lage, autonom Längs- und Quermanöver durchzuführen oder den Fahrer während der Fahrt zu unterstützen. Die Einsatzgebiete von ADS beschränken sich nicht nur auf die Automatisierungsfähigkeiten von Fahrzeugen, sondern umfassen auch Sicherheitsanwendungen.
Daher rückt die allgemeine Sicherheit von ADS in den Mittelpunkt der Forschung.
Der Grad des autonomen Fahrens wird nach der Fahrfähigkeit des Fahrzeugs klassifiziert. Die Society of Automotive Engineers (SAE) hat fünf Stufen. Beispielsweise erfordert die Automatisierung der Stufe 3 (L3), dass das Fahrzeug das Fahrzeug unter begrenzten Bedingungen steuern kann und nicht autonom arbeiten kann, wenn nicht alle erforderlichen Bedingungen erfüllt sind, was der Automatisierung der Stufe 3 (eingeschränktes autonomes Fahren) durchaus entspricht. Im Allgemeinen ist die Gesamtsicherheit eine Kombination aus funktionaler Sicherheit (FuSa), beabsichtigter funktionaler Sicherheit (SOTIF) und Cybersicherheit. SOTIF befasst sich mit den funktionalen Einschränkungen von ADS-Fahrzeugen, d. h. dem Fehlen unangemessener Gefahrenrisiken, die sich aus unzureichender Funktionalität für beabsichtigte Funktionen und vernünftigerweise vorhersehbarem menschlichem Missbrauch ergeben. FuSa schützt vor E/E-Ausfallverhalten von ADS-Fahrzeugen. Derzeit bietet die hochmoderne Technologie der Branche verschiedene Methoden und Prozesse, um die Sicherheit von Autos zu gewährleisten.
Um die Robustheit von ADS zu verbessern, müssen in verschiedenen Entwicklungsstadien mehrere Sicherheitsmethoden angewendet werden. Hier stellt sich die Frage, ob diese Methoden (a) die Identifizierung aller möglichen sicheren Randbedingungen unterstützen und ob sie (b) ausreichen, um die Sicherheit von ADS zu gewährleisten. Darüber hinaus bleibt es eine Herausforderung, den Mangel an HAD-Funktion auszugleichen. Aufgrund der Komplexität von ADS müssen neue Methoden entwickelt werden, um die gewünschte Methode anzuwenden oder die Methode zu erweitern. Wir hatten Schwierigkeiten bei der Anwendung der Methode aufgrund der Anzahl der in ADS HARA generierten Szenarien und ihrer Verfügbarkeit. Unter Berücksichtigung dieses Aspekts konzentrieren wir uns in unserer Arbeit auf den szenariobasierten HARA-Ansatz und erweitern ihn für den Einsatz in ADS. HARA basierend auf Fahrzeugfunktionen ist ein obligatorischer Voransatz in der Sicherheitsentwicklung. Es hat einen starken Einfluss auf die Entwicklung von ADS unter Berücksichtigung der Operational Design Domain (ODD) und unterstützt auch die Untersuchung unbekannter unsicherer Bereiche von ADS.
In diesem Artikel wird eine Methode vorgeschlagen, die es szenenbasiertem HARA ermöglicht, mithilfe des Basisdiagramms des Fahrzeugs und des Unfalldiagramms ein einfaches Verständnis der Szene zu erreichen.
Darüber hinaus wird die Anzahl der Szenarien für merkmalsbasierte HAZOP-Keyword-Metriken durch ausgefeilte Sensoren und Verarbeitungsalgorithmen reduziert. Darüber hinaus haben wir in Verbindung mit FuSa auch eine sorgfältige szenariobasierte ADS-HARA-Untersuchung der HAD-Funktion durchgeführt. Als Derivat kann es als starker Beweis für eine szenariobasierte Bedrohungsanalyse in der Cybersicherheit dienen.
2. Begriffsdefinitionen und Schadenstheorie
2.1. Definition der Begriffe
Für bestimmte Ausdrücke ist das im Sicherheitsbereich verwendete Vokabular erforderlich. Um Missverständnisse zu vermeiden, definiert dieses Kapitel HARA-bezogenes Vokabular nach dem aktuellen Stand der Technik.
Gemäß ISO 26262:2018 ist Sicherheit „das Fehlen eines unverhältnismäßigen Risikos“, Gefahr ist definiert als „eine potenzielle Schadensquelle, die durch das Fehlerverhalten eines Artikels verursacht wird“ und gefährliches Ereignis ist definiert als „eine Kombination aus Gefahr und Risiko“. .
ISO 26262:2018 definiert HARA als „eine Methode zur Identifizierung und Klassifizierung von Gefahrenereignissen bei zugehörigen Gegenständen und zur Festlegung von Sicherheitszielen und Automotive Safety Integrity Level (ASIL) im Zusammenhang mit der Verhinderung oder Minderung damit verbundener Gefahren, um unverhältnismäßige Risiken zu vermeiden“.
Gemäß SOTIF (ISO PAS 21448:2019) ist SOTIF definiert als „es besteht kein unverhältnismäßiges Schadensrisiko aufgrund einer unzureichenden Funktion der beabsichtigten Funktion oder eines vernünftigerweise vorhersehbaren menschlichen Missbrauchs“, und das auslösende Ereignis ist als Initiator des nachfolgenden Systems definiert Reaktionen, die unter bestimmten Bedingungen in einem Fahrszenario zu gefährlichen Ereignissen führen können.
Unter Cybersicherheit versteht man „Maßnahmen zum Schutz cyber-physischer Systeme vor unbefugtem Zugriff oder Angriff“.
2.2. Gefahrentheorie
Szenariobasierte Erweiterungen HARA basiert auf der von Ericson (2005) entwickelten Gefahrentheorie und wird zur Generierung von Unfallszenarien mit dem Schlüsselwortansatz HAZOP verwendet. Laut Ericson ist eine Gefahr eine Kombination aus drei Teilen, die als Gefahrendreieck bekannt ist, wie in Abbildung 1 dargestellt.
(i) Gefährliche Elemente (HE): Elementare gefährliche Ressourcen (z. B. gefährliche Energiequellen), die einen gefährlichen Antrieb erzeugen.
(ii) Auslösemechanismus (IM): Das auslösende oder auslösende Ereignis, das das Eintreten der Gefahr verursacht.
(iii) Ziel/Bedrohung (T/T): Eine Person oder Sache, die anfällig für Verletzungen und/oder Schäden/Unfälle ist und voraussichtlich entsprechende Schäden und Verluste erleiden wird.
Gefährdungskomponenten, insbesondere IM, können die Gefährdung nur in einer bestimmten zeitlichen Abfolge auslösen und zu einem Unfall führen. Bedrohungen können auf menschliche oder physische Vermögenswerte (wie CAN, physikalische Schicht, Signale usw.) zurückzuführen sein, die das Potenzial haben, eine schädliche Situation zu verursachen. Gefährliche Ereignisse sind potenzielle Bedrohungen oder Vorfälle, die durch ein einzelnes auslösendes Ereignis oder eine Kombination daraus entstehen und daraus resultieren. Der Zusammenhang zwischen Gefahren und Unfällen ist in Abbildung 2 dargestellt.
Abbildung 1. Das Gefahrendreieck der Theorie von Ericson (2005).
Abbildung 2. Gefahrenkomponenten der Gefahrentheorie von Ericson (2005).
3. Szenariobasiertes HARA
Szenariobasiertes HARA ist ein allgemeiner Bewertungsprozess von ADS von der Funktion bis zur Anwendung.
Szenariobasiertes HARA führt systematisch Gefährdungsbeurteilungen durch, um die Analyse von Ursachen und Auswirkungen beim Auftreten von Gefahren für bestimmte Fahrzeugfunktionen in bestimmten Situationen zu unterstützen und so Wissenslücken zu schließen.
Bei der szenariobasierten HARA-Beschreibung wird der aktuelle Zustand des Systems in Bezug auf die Verkehrsbedingungen (Standort von sich selbst und anderen Verkehrsteilnehmern, Verkehrsampeln usw.), die Umgebung (Straßentyp, Straßenbelag, Wetter usw.) usw. untersucht Infrastruktur (Baustellen, Tunnel etc.)Beziehung. Die wahrgenommene Situation verändert sich bei bestimmten Aktionen des Fahrzeugs und anderer Verkehrsteilnehmer im Straßenverkehr sowie bei äußeren Ereignissen. Formulieren Sie ausgehend von der Ausgangssituation (Wahrnehmung) die endgültige Wahrnehmung und mögliche Gefahrenauslöseereignisse und analysieren Sie das Risiko.
Dieses Papier folgt dem FuSa- und SOTIF-äquivalenten HARA-Ansatz. Durch die Kombination von FuSa und SOTIF werden Szenarien im weiteren Sinne zur Gefahren- und Risikoabschätzung untersucht.
Risikofaktoren werden nach Schweregrad (S), Exposition (E) und Kontrollierbarkeit (C) skaliert, um den ASIL eines gefährlichen Ereignisses (HE) zu bestimmen. HE kann durch Fehlerverhalten im Zusammenhang mit E/E-Systemausfällen und/oder Funktionseinschränkungen (SOTIF-Bereich) verursacht werden, die in bestimmten Betriebssituationen berücksichtigt werden.
3.1. Definition verwandter Elemente
Die Notwendigkeit der Definition verwandter Elemente besteht darin, das System oder die Kombination von Systemen mit großer Auswirkung auf die Sicherheit herauszufinden, das die Sicherheitsaktivitäten im gesamten Lebenszyklus anwenden muss. Ein abhängiges Element implementiert alle oder einen Teil der Funktionen des Fahrzeugs. Wichtige Fahrzeugfunktionen wie Lenkung, Beschleunigung und Verzögerung werden als abhängige Elemente definiert und im szenariobasierten HARA berücksichtigt. Abbildung 3 zeigt die Zusammenhänge für Hilfsfunktionen (z. B. ELV) und traditionelle Funktionen (z. B. ACC).
Abbildung 3. Definition verwandter Elemente in ADS
4. Szenariobasiertes erweitertes HARA
4.1. Konzept
Die Komplexität automatisierter Funktionen nimmt im Hinblick auf reale Szenarien dramatisch zu, in denen Fahrzeuge mit automatisierten Funktionen Fehlfunktionen aufweisen oder Schwierigkeiten bei Sicherheitsreaktionen haben. Um die von der Szene erzeugte ODD zu verstehen, ist außerdem ein umfassender analytischer Ansatz für die HAD-Funktion erforderlich.
Abbildung 4 zeigt den Prozess der HARA-Analyse und -Verfeinerung, die von relevanten Elementen zu Gefahren-/Bedrohungsszenarien gemäß funktionaler Sicherheit und SOTIF (einschließlich Cybersicherheit) generiert wird.
Der erweiterte Ansatz von HARA unterstützt eine Komplexitätszerlegung des ADS und listet verschiedene Szenarien unter Berücksichtigung der in Abschnitt 2.2 erwähnten Gefahrentheorie und der Risikobewertung basierend auf der funktionalen Sicherheit von Kraftfahrzeugen auf. Obwohl der neue Ansatz von HARA den Verifizierungs- und Validierungsprozess (V&V) nicht reduziert, schafft er Vertrauen in den V&V-Prozess, indem er starke Beweise für eine Sicherheitskultur im ADS-Entwicklungsprozess liefert.
Abbildung 4. Entwicklungsprozess von FuSa und SOTIF HARA
4.2. Szenariobasierter erweiterter HARA-Prozess
Der Ansatz zur Gefahrenerkennung gliedert sich in zwei Teile: (1) funktionale Sicherheit und (2) SOTIF (einschließlich Cybersicherheit). Für beide Aspekte ist das Grundszenario dasselbe. Zur Erkennung von Gefahren werden auslösende Ereignisse, die sich aus funktioneller Insuffizienz aufgrund der Funktionalität ergeben, weitergegeben. Abbildung 5 zeigt den Gefahrenerkennungsprozess des szenariobasierten erweiterten HARA. Der Schwerpunkt des SOTIF-Bereichs liegt auf komplexen Funktionen (Radar-, Lidar-Sensoren), die in der HAD-Funktion oder zur Unterstützung des Fahrers eingesetzt werden. Der FuSa-Bereich umfasst den grundlegenden Fahrzeugbetrieb.
Abbildung 5. Szenariobasierter erweiterter HARA-Ansatz
4.2.1. HAZOP-Methode – FuSa und SOTIF
Zu Beginn der grundlegenden Systemtechnik werden Funktionen auf Fahrzeugebene wie Spurwechselverhalten, Querführung etc. charakterisiert. Die funktionellen Eigenschaften des Fahrzeugs hängen von der Fahrsituation ab, beispielsweise der Fahrt auf einer Autobahn oder einer Stadtstraße mit unterschiedlichen Umgebungsbedingungen. HAZOP-Schlüsselwörter (z. B. zu früh/zu spät, zu schnell anhalten usw.) werden in der Funktionalität auf Fahrzeugebene berücksichtigt und die Systemauswirkungen werden anhand von Erkenntnissen aus Brainstorming, Erfahrungen aus der Vergangenheit und Forschung analysiert.
Tabelle 1 stellt das mögliche Fehlverhalten des Fahrzeugs bei Verwendung der HAZOP-Schlüsselwortmethode und Spurwechselmanövern dar. Ein Ausfall des E/E-Systems kann zu gefährlichen Ereignissen führen, und das Risiko muss entsprechend dem wahrgenommenen Szenario bewertet werden.
Tabelle 1 zeigt den traditionellen HAZOP-Schlüsselwortansatz zur Identifizierung von Fahrzeugfehlverhalten. In diesem Dokument werden Spurwechselmanöver als Anwendungsfall verwendet, der die HAD-Funktionalität der Stufe 3 (L3) berücksichtigt. Bei der szenariobasierten Gefahrenanalyse hilft das Schlüsselwort HAZOP bei der Generierung von Szenarien zur Risikobewertung.
Tabelle 1. Falsches Fahrzeugverhalten basierend auf dem FuSa HAZOP-Schlüsselwortansatz
Für SOTIF wird der HAZOP-Schlüsselwortansatz verwendet, um funktionale Mängel oder Einschränkungen von Funktionseinheiten (komplexe Sensoren, Sensorfusion, komplexe Algorithmen usw.) zu identifizieren. SOTIF verbessert die ADS-Sicherheit durch externes und internes Umgebungsbewusstsein. Hinsichtlich der Beherrschbarkeit von ADS selbst in bestimmten Gefahrensituationen ist das Risikoniveau bereits hoch. Es besteht kein Zweifel, dass die Umwelt einen fatalen Einfluss auf Sensoren und Aktoren hat.
Aufgrund der Komplexität wahrnehmungsbezogener Sensorarchitekturen ist es notwendig, ihre Funktionseinheiten von der Eingabe über die Logik bis zur Ausgabe zu untersuchen. Der Ausfall eines Teils einer Funktionseinheit kann zu einer gefährlichen Situation führen. Zu Beginn der Entwicklung hilft diese Untersuchung nicht nur, die Situation zu verstehen, sondern auch bei der Auswahl eines sinnvollen Sensors. Tabelle 2 zeigt die ausgangsbasierten Sensordefizite, die zu gefährlichen Ereignissen führen können.
Tabelle 2. Unzureichende Fahrzeugfähigkeiten von SOTIF basierend auf dem HAZOP-Schlüsselwortansatz
Im nächsten Schritt wird durch eine Vorauswahl von Szenarien eine Szenariokombination unter Integration von FuSa und SOTIF definiert. In der HAZOP-Analyse im Zusammenhang mit Funktionsfehlern des E/E-Systems werden Ausfälle, die nicht mit Unfallszenarien zusammenhängen, von SOTIF nicht berücksichtigt. Wenn das HAZOP-Schlüsselwort, das keiner Funktionseinheit zugeordnet ist, keine Auswirkung auf die Fahrzeugfunktionalität hat, d. h. die Funktionseinheit keine gefährlichen Ereignisse auslösen kann, ist keine weitere Untersuchung erforderlich. Das heißt, SOTIF-Schlüsselwörter sind mit auslösenden Ereignissen von Gefahrenszenarien verknüpft.
Die anfängliche Vorauswahlmethode reduziert den Arbeitsaufwand, indem sie einflussreiche Gefahrenereignisse aus dem SOTIF-Bereich sammelt, um gemeinsam mit FuSa eine ADS-Gefahrenanalyse durchzuführen und das Risikoniveau entsprechend dem Szenario abzuschätzen. Vorauswahlmetriken basierend auf SOTIF-auslösenden Ereignissen und Fahrzeugfähigkeiten stellen problemlos den HAZOP-Schlüsselwortansatz zur Auswahl möglicher sicherheitskritischer Szenarien dar. Tabelle 3 zeigt vorab ausgewählte Metriken basierend auf HAZOP-Schlüsselwörtern, einschließlich auslösender Ereignisse (TE) und nicht im Zusammenhang mit HAZOP-Schlüsselwörtern (nr).
Tabelle 3. Vorauswahlmetriken für FuSa- und SOTIF-basierte HAZOP-Schlüsselwortmethoden
Im szenariobasierten HARA wird vorhersehbarer Missbrauch als auslösendes Ereignis betrachtet, das mit der menschlichen Beherrschbarkeit des Fahrzeugs zusammenhängt. Um inhaltliche Überschneidungen im Bereich Cybersicherheit zu vermeiden, sprechen wir im weiteren Verlauf des Dokuments nicht von Bedrohungen, sondern nur von Top Events (TLEs). Darüber hinaus verwerfen wir mögliche Ziele, da Verkehrsteilnehmer ohnehin in mögliche Unfälle verwickelt wären. Daher definieren wir ein Gefahrenszenario als eine Kombination aus einem Basisszenario (Basisszenario) und einem Risiko (Gefahr).
Die größte Herausforderung bei der Gefährdungsbeurteilung ist zweifellos die Erzielung einer auf dem Fahrzeugverhalten basierenden Unsicherheit unter Beteiligung funktionaler Einheiten. Es reicht nicht aus, die Gefahrenereignisse eines komplexen Systems wie ADS mit Worten auszudrücken. Die HAD-Funktion wird von der Umgebung und der Leistung von Sensoren und Aktoren beeinflusst.
Basierend auf möglichen Gefahrenereignissen wird eine Reihe von Funktionsszenarien erstellt, und die TLE-Szenarien werden in Abb. 6 als Unfallbildszenarien bezeichnet.
Abbildung 6. Unfallszenarien für szenariobasierte erweiterte HARA
Darüber hinaus werden Systemeffekte in den für TLE erforderlichen Szenarien und Bedingungen berücksichtigt. Berücksichtigt die Exposition, den Schweregrad und die Beherrschbarkeit von Menschen als Fahrern und Maschinen als Fahrern. Darüber hinaus wurde für jedes TLE-Szenario eine Risikobewertung unter Berücksichtigung des Verletzungsgrads, der Eintrittswahrscheinlichkeit und der ADS-Steuerbarkeit (mit und ohne menschlichen Fahrer) durchgeführt. Laut einer statistischen Analyse der funktionalen Sicherheit kann das Risiko als Funktion der Multiplikation von drei Parametern beschrieben werden: der Häufigkeit gefährlicher Ereignisse (f), der Kontrollierbarkeit (C), Schwere oder Schaden innerhalb einer bestimmten Zeit zu vermeiden, und dem Potenzial Schwere(n) der Verletzung oder des Schadens.
Risikofaktoren werden nach fünf ASILs kategorisiert. Je höher dieses Risiko ist, desto höher sind die Anforderungen zur Reduzierung dieses Risikos und desto höher ist das ASIL-Niveau. Die Einstufung von QM entspricht „kein Risiko“. Bei dieser Klassifizierung wird davon ausgegangen, dass Risiken durch Qualitätsmanagement ausreichend gemindert werden können.
Darüber hinaus hilft die Erstellung einer hierarchischen Informationstabelle dabei, eine Reihe sicherheitskritischer Szenariolisten entsprechend der Automatisierungsstufe zu erstellen und einen systematischen Ansatz zur Modellierung von Szenarios in Software zu unterstützen. Die Idee besteht darin, eine effiziente Möglichkeit zu entwickeln, TLE als endgültige Wahrnehmungsszene unter Berücksichtigung grundlegender Ebenen wie Straßentyp, Fahrzeughandhabung und Umgebung widerzuspiegeln. Somit leistet das szenariobasierte erweiterte HARA in gewissem Maße einen Beitrag durch einen systematischen Prozess der Verknüpfung hierarchischer Informationen mit Unfallszenarien.
5. Typischer Fall
Der Querführungsassistent ist eines der vielfältigen Assistenzsysteme in hochautomatisierten Fahrzeugen und kann unter anderem beim Überholen während der Fahrt, bei der Kollisionsvermeidung und beim Spurwechsel auf Autobahnen oder Stadtstraßen zum Einsatz kommen. Relevante Elemente, die auf Querleitsystemen basieren, sind:
(i) Lenkung
(ii) Beschleunigung
(iii) langsamer werden
5.0.1.SAE L3 Spurwechselkontrolle für Fahrzeuge
Szenariobasiertes erweitertes HARA beginnt mit dem traditionellen Ansatz von HARA und berücksichtigt grundlegende Fahrzeughandhabungsfunktionen (z. B. seitliche Navigation): langsames Abbiegen von der linken Spur. Mit anderen Worten: Das Abbiegen von der linken Spur auf die rechte Spur ist langsamer, das Ego-Fahrzeug ist schneller, aber der Spurwechsel auf die rechte Spur ist langsamer. In diesem Fall ist der Spurwechsel eine grundlegende Fahrzeugfunktion. SOTIF- und FuSa-Szenengruppen werden basierend auf Fahrzeugfunktionen eingerichtet.
Basierend auf der SOTIF-Gefährdungsauswirkungsanalyse wird die Identifizierung von Funktionsmängeln an Umgebungssensoren wie Radaren und Kameras gerichtet. Das Versagen von Umweltsensoren, stationäre oder sich bewegende Objekte auf der Straße zu erkennen, wird von SOTIF HARA vollständig analysiert.
Ein Beispiel für die Erkennung bewegter Objekte mithilfe eines Bildsensors ist in Eingabe (Kamerabild), Logik (Verarbeitungseinheit) und Ausgabe (verarbeitetes Kamerabild) unterteilt, wie in Tabelle 4 dargestellt.
Tabelle 4. SOTIF – Funktionsbeschreibung und Funktionseinheiten
Ausfälle und/oder Unzulänglichkeiten von Umweltsensoren werden gemäß der in Abschnitt 4.2.1 genannten HAZOP-Schlüsselwortmethode generiert. Zwei unterschiedliche Fahrzeugfahrsituationen werden grafisch dargestellt (siehe Abbildung 7).
Vorab ausgewählte Metriken basierend auf HAZOP-Schlüsselwörtern werden verwendet, um HE-basierte FuSa- und SOTIF-Aspekte zu finden, wie in Abbildung 8 dargestellt.
Die Tabelle in Abb. 8 stellt mögliche TLE-Szenarien dar, beispielsweise „AA-t1“. Das erste „A“ stellt das Fahrzeugfunktionsszenario dar; das zweite „A“ stellt die SOTIF-Funktion dar und die Liste „t1“ stellt ein auslösendes Ereignis dar; schließlich betrachtet die szenariobasierte HARA jedes HE als Risiko wie „AA-t1“. „Bewerten.
Abbildung 7. Basisszenario für szenariobasiertes erweitertes HARA
Abbildung 8. Vorgewählte Szenarien basierend auf FuSa und SOTIF
Der schlüsselwortbasierte HAZOP-Ansatz berücksichtigt TLEs basierend auf möglichen Fahrzeugfunktionen und drückt mögliche Unfallszenarien für jede mögliche Abweichung in einem Diagramm aus (siehe Tabelle 5), wodurch HARA leicht verständlich wird.
In Tabelle 5 werden die TLE-Szenarien erläutert, einschließlich der Begründung des Schweregrads, der Begründung der Exposition und der Begründung der Kontrollierbarkeit durch Mensch/Maschine. In jedem TLE werden maschinelle und menschliche Steuerbarkeit sowie Umweltauslöser berücksichtigt. Generieren Sie Sicherheitsziele auf ASIL-Ebene. Darüber hinaus berücksichtigt der SOTIF-Aspekt menschenbezogene SOTIF-auslösende Ereignisse (siehe Tabelle 6).
Tabelle 5. Risikobewertung von TLE (Unfallszenarien)
Tabelle 6. SOTIF-Triggerkorrelation (Umwelt und Mensch)
6 Fazit
Szenariobasiertes HARA und Erweiterungen zur Darstellung von Szenarien über Diagramme sind intuitiv, aber aufwändig in der Ausführung.
Darüber hinaus können aktuelle Techniken keine Aussagen über die Angemessenheit der Methode im Hinblick auf die Systemkomplexität machen, zeigen jedoch die Notwendigkeit, Umweltaspekte bei der Systementwicklung zu berücksichtigen. Es ist unbestreitbar, dass bei der Entwicklung szenariobasierter HARA Softwaretools benötigt werden, die die Erstellung von Unfallbildern oder -videos unterstützen. Ein Ansatz besteht darin, die Umgebung aufzubauen und sicherheitskritische Szenarien in Softwaretools zu identifizieren. Die Ergebnisse werden dann in Sicherheitsdesign-Software wie REANA (klicken Sie hier, um mehr zu erfahren) verwendet . Die Systemhierarchie der Software kann verwendet werden, um die Systemkomplexität zu bewältigen und die Angemessenheit sicherzustellen.
Obwohl die Erstellung einer Datenbank sicherheitskritischer Szenarien eine der großen Herausforderungen darstellt, wird sie eine wichtige Rolle bei der Sicherheitsentwicklung spielen.