1.

EINFÜHRUNG

Dieser Anhang enthält die Anforderungen an und die Prüfverfahren für die Sicherheitsaspekte in Bezug auf komplexe elektronische Fahrzeugsteuersysteme.

2.

ERFORDERLICHE DOKUMENTATION

2.1.

Allgemeine Anforderungen

Der Hersteller muss ein Dokumentationspaket zur Verfügung stellen, das Angaben über die Grundkonstruktion des Sicherheitssystems ( „Safety Instrumented System” ) und die Mittel zur Verbindung mit anderen Fahrzeugsystemen oder zur direkten Steuerung von Ausgangsgrößen enthält. Die Funktion(en) des Sicherheitssystems und des Sicherheitskonzepts muss (müssen) darin nach den Festlegungen des Herstellers erläutert sein. Zum Zweck der Überwachung ist in der Dokumentation anzugeben, wie der aktuelle Betriebszustand des Systems geprüft werden kann. Die Dokumentation muss zwei Teile umfassen:

a)

Die formale Dokumentation für das Sicherheitssystem zum Zweck der Genehmigung mit den in den Abschnitten 2.2 bis 2.4 genannten Angaben. Sie dient als Grundlage für das Genehmigungsverfahren nach Abschnitt 3.

b)

Zusätzliches Material und Analysedaten, das bzw. die für die Genehmigung des Sicherheitssystems erforderlich ist (sind).

2.2.

Beschreibung der Funktionen des Sicherheitssystems

Es ist eine Beschreibung mit einer einfachen Erläuterung aller Steuerfunktionen des Sicherheitssystems und der zur Erreichung der Zielgrößen angewandten Verfahren, einschließlich einer Beschreibung des Steuerungsmechanismus (der Steuerungsmechanismen), vorzulegen.

a)

Es ist eine Liste aller Eingangsgrößen und abgetasteten Größen mit Angabe des Betriebsbereichs vorzulegen.

b)

Es ist eine Liste aller vom Sicherheitssystem gesteuerten Ausgangsgrößen vorzulegen und jeweils anzugeben, ob die Steuerung direkt oder über ein anderes Fahrzeugsystem erfolgt. Der Steuerungsbereich ist für jede dieser Größen anzugeben.

c)

Die Systemgrenzen sind anzugeben, wenn sie für die Wirkung des Systems relevant sind.

2.3.

Systemplan und Schaltbilder

2.3.1.

Liste der Bauteile

Es ist eine Liste vorzulegen, in der alle Baueinheiten des Sicherheitssystems zusammengestellt und die anderen Fahrzeugsysteme aufgeführt sind, die für die betreffende Steuerfunktion erforderlich sind. Es ist eine Umrisszeichnung vorzulegen, aus der hervorgeht, wie diese Baueinheiten kombiniert sind; außerdem müssen sowohl die räumliche Verteilung der Bauteile als auch die Verbindungen deutlich zu erkennen sein.

2.3.2.

Funktionen der Baueinheiten

Die Funktion jeder Baueinheit des Sicherheitssystems ist darzustellen, und die Signale, die sie mit anderen Baueinheiten oder anderen Fahrzeugsystemen verbinden, sind anzugeben. Dazu kann ein beschriftetes Blockschaltbild, ein anderes Schaltbild oder eine Beschreibung mit Schaltbild verwendet werden.

2.3.3.

Verbindungsleitungen

Verbindungen innerhalb des Sicherheitssystems sind wie folgt darzustellen: elektrische Übertragungsverbindungen in einem Schaltbild, pneumatische oder hydraulische Übertragungsverbindungen in einem Rohrleitungsplan und mechanische Übertragungsverbindungen in einer vereinfachten schematischen Darstellung.

2.3.4.

Signalfluss und Prioritäten

Zwischen diesen Übertragungsverbindungen und den zwischen den Baueinheiten übermittelten Signalen muss eine deutliche Entsprechung bestehen. Die Prioritäten von Signalen auf Multiplexdatenbussen sind immer dann anzugeben, wenn sie einen Einfluss auf die Wirkung oder die Sicherheit haben können.

2.3.5.

Kennzeichnung von Baueinheiten

Jede Baueinheit muss deutlich und eindeutig gekennzeichnet sein, damit die Entsprechung zwischen der Hardware und der Dokumentation überprüft werden kann. Sind Funktionen innerhalb einer einzelnen Baueinheit oder innerhalb eines einzelnen Computers kombiniert, aber im Blockschaltbild der Deutlichkeit und der Einfachheit halber in Mehrfachblöcken dargestellt, dann braucht nur ein einziges Hardware-Kennzeichen verwendet zu werden. Der Hersteller muss unter Angabe dieses Kennzeichens bestätigen, dass das gelieferte Gerät den Unterlagen entspricht.

2.3.5.1. Das Kennzeichen steht für eine bestimmte Hardware- und Softwareversion, und wenn die letztgenannte so geändert wird, dass sich dadurch auch die Funktion der Baueinheit verändert, muss dieses Kennzeichen ebenfalls geändert werden.

2.4.

Sicherheitskonzept des Fahrzeugherstellers

2.4.1. Der Hersteller muss gewährleisten, dass die zur Erreichung der Zielgrößen des Sicherheitssystems gewählte Strategie im fehlerfreien Zustand den sicheren Betrieb von Systemen, für die die Vorschriften dieser Verordnung gelten, nicht beeinträchtigt.

2.4.2. In Bezug auf die bei dem Sicherheitssystem verwendete Software ist die Grundarchitektur zu erläutern, und die bei der Entwicklung angewandten Verfahren und Hilfsmittel sind anzugeben. Der Hersteller muss darauf vorbereitet sein, dass er gegebenenfalls nachweisen muss, wie bei der Entwicklung vorgegangen wurde, um die Systemlogik umzusetzen.

2.4.3. Der Hersteller muss dem Technischen Dienst eine Beschreibung der Konzepte vorlegen, die bei der Entwicklung des Sicherheitssystems vorgesehen wurden, um den sicheren Betrieb im Fehlerfall zu gewährleisten. Bei einem Fehlerfall im Sicherheitssystem können zum Beispiel folgende Konzepte genutzt werden:

a)

Rückfall auf ein Teilsystem;

b)

Übergang auf ein getrenntes Backup-System;

c)

Wegschalten der übergeordneten Funktion.

2.4.3.1. Wenn bei dem gewählten Konzept bei bestimmten Fehlerzuständen der Rückfall auf ein Teilsystem ausgewählt wird, sind diese Zustände und die daraus resultierenden Funktionseinschränkungen anzugeben.

2.4.3.2. Wenn bei dem gewählten Konzept ein zweites Werkzeug (Backup-Werkzeug) zur Erreichung der Zielgrößen des Fahrzeugsteuersystems ausgewählt wird, sind die Prinzipien des Übergangsmechanismus, die Logik, die Redundanz und alle vorgesehenen Backup-Überwachungsmerkmale darzustellen und die daraus resultierenden Funktionseinschränkungen anzugeben.

2.4.3.3. Wenn bei dem gewählten Konzept das Wegschalten der (des) übergeordneten Funktion (Systems) ausgewählt wird, müssen alle entsprechenden Ausgangssteuersignale, die mit dieser Funktion zusammenhängen, gesperrt werden, damit das Ausmaß der vorübergehenden Störung begrenzt wird.

2.4.3.4. Übergeordnete Systemen/Funktionen müssen es komplexen Systemen ermöglichen, ihre Zielgrößen automatisch zu verändern, wobei die Priorität von den abgetasteten Größen abhängt.

2.4.4. Die Dokumentation muss durch eine Analyse ergänzt werden, in der in allgemeinen Worten dargestellt ist, wie das System sich beim Auftreten eines der definierten Fehler verhält, die eine Auswirkung auf die Fahrzeugsteuerung oder die Fahrzeugsicherheit haben. Dazu können die Ergebnisse einer Fehler-Möglichkeits- und -Einfluss-Analyse (FMEA), einer Fehlerbaumanalyse (FTA) oder eines vergleichbaren, zur Untersuchung von Sicherheitsaspekten geeigneten Analyseverfahrens dargestellt werden. Der gewählte analytische Ansatz ist vom Hersteller festzulegen und zu aktualisieren und dem Technischen Dienst zur Verfügung zu stellen.

2.4.5. In dieser Dokumentation sind die überwachten Parameter aufzulisten, und für jeden Fehlerzustand nach Abschnitt 2.4.3 ist das Warnsignal anzugeben.

3.

PRÜFVERFAHREN

3.1. Die Arbeitsweise des Sicherheitssystems, wie in der Dokumentation nach Abschnitt 2 dargestellt, wird wie folgt geprüft:

3.1.1.

Überprüfung der Funktionen des Sicherheitssystems

Zum Nachweis der normalen Betriebswerte ist die Überprüfung der Leistungsfähigkeit des Fahrzeugsystems in fehlerfreiem Zustand anhand der Grundspezifikation der Vergleichspunkte des Herstellers durchzuführen.

3.1.2.

Überprüfung des Sicherheitskonzepts nach Abschnitt 2.4

Die Reaktion des Sicherheitssystems ist nach Ermessen des Technischen Dienstes unter dem Einfluss einer Störung in jeder einzelnen Baueinheit zu prüfen, indem entsprechende Ausgangssignale an elektrische Baueinheiten oder mechanische Teile übertragen werden, um die Auswirkungen interner Fehler innerhalb der Baueinheit zu simulieren.

3.1.3. Die Ergebnisse der Überprüfung müssen mit der dokumentierten Zusammenfassung der Fehleranalyse übereinstimmen, so dass aufgrund der Gesamtwirkung das Sicherheitskonzept und die Ausführung als ausreichend bestätigt werden können.

3.2. Den in Abschnitt 2.4.3 enthaltenen Anforderungen an Warnsignale ist im Allgemeinen entsprochen, wenn ein optisches Signal für jedes komplexe Fahrzeugsystem verwendet wird, es sei denn, in anderen, für die gleiche Ausrüstung geltenden Vorschriften sind ausdrücklich Mehrfachsignale vorgesehen.

4.

ZUSÄTZLICHE ANFORDERUNGEN

4.1. Im Fehlerfall muss der Fahrzeugführer z. B. durch ein Warnsignal oder durch eine Nachrichtenanzeige gewarnt werden. Die Warnung muss solange erfolgen, wie der Fehlerzustand anhält, es sei denn, das System ist vom Fahrzeugführer dadurch deaktiviert worden, dass z. B. der Zündschalter (Anlassschalter) in die Aus-Stellung gebracht oder die betreffende Funktion ausgeschaltet wurde, wenn dafür ein besonderer Schalter vorhanden ist.