Spezielle Vorschriften für die Sicherheitsaspekte komplexer elektronischer Fahrzeugsteuersysteme

1.

Allgemeines

In diesem Anhang sind die speziellen Vorschriften für die Dokumentation, die Fehlerstrategie und die Verifikation hinsichtlich der Sicherheitsaspekte komplexer elektronischer Fahrzeugsteuersysteme für die Zwecke dieser Verordnung festgelegt. Dieser Anhang kann auch für sicherheitsbezogene Funktionen verwendet werden, die durch (ein) elektronische(s) System(e) gesteuert werden. In diesem Anhang sind nicht die Wirkungskriterien für komplexe elektronische Fahrzeugsteuersysteme festgelegt, sondern es werden die Vorgehensweise bei der Systementwicklung und die Angaben behandelt, die dem Technischen Dienst im Hinblick auf die Typgenehmigung zu übermitteln sind. Aus diesen Angaben muss hervorgehen, dass bei einem komplexen elektronischen Fahrzeugkontrollsystem unter normalen und Störungsbedingungen alle zutreffenden Vorschriften über die Bremswirkung eingehalten sind, die in dieser Regelung aufgeführt sind.

2.

Begriffsbestimmungen

Für die Zwecke dieses Anhangs gelten folgende Begriffsbestimmungen:

2.1.

„Sicherheitskonzept” ist eine Beschreibung der Kennwerte, die in das System (z. B. in die elektronischen Baueinheiten) integriert sind, um die Zuverlässigkeit und damit den sicheren Betrieb auch bei einem elektrischen Ausfall zu gewährleisten.

Die Möglichkeit des Rückfalls auf ein Teilsystem oder sogar ein Backup-System bei wichtigen Fahrzeugfunktionen kann Teil des Sicherheitskonzepts sein.

2.2.

„Elektronisches Steuersystem” ist eine Kombination von Baueinheiten, die bei der genannten Fahrzeugsteuerfunktion mit Hilfe der elektronischen Datenverarbeitung zusammenwirken sollen.

Diese Systeme, die oft durch Software gesteuert sind, bestehen aus diskreten Funktionsbauteilen, wie Sensoren, elektronischen Steuergeräten und Stellgliedern, und sind durch Übertragungsverbindungen miteinander verbunden. Sie können mechanische, elektropneumatische oder elektrohydraulische Bauelemente umfassen.

2.3.

„Komplexe elektronische Fahrzeugsteuersysteme” sind elektronische Steuersysteme mit einer Steuerungshierarchie, bei der eine gesteuerte Funktion durch ein übergeordnetes elektronisches Steuersystem/eine übergeordnete elektronische Steuerfunktion überschrieben werden kann.

2.4.

„Übergeordnete Steuersysteme/-funktionen” sind Systeme bzw. Funktionen, bei denen mit zusätzlichen Verarbeitungs- und/oder Abtastvorgängen das Fahrzeugverhalten durch Veränderungen bei der normalen Funktion (den normalen Funktionen) des Fahrzeugsteuersystems verändert wird.

Dadurch können komplexe Systeme ihre Zielgrößen automatisch verändern, wobei die Priorität von den abgetasteten Größen abhängt.

2.5.

„Baueinheiten” sind die kleinsten Teile von Systembestandteilen, die in diesem Anhang behandelt werden: Diese Kombinationen von Bauteilen werden bei der Kennzeichnung, der Auswertung oder dem Austausch als einzelne Einheiten betrachtet werden.

2.6.

„Übertragungsverbindungen” sind die Mittel, mit denen verteilte Einheiten für die Übertragung von Signalen, Betriebsdaten oder Energie miteinander verbunden werden.

Dabei handelt es sich im Allgemeinen um eine elektrische Anlage, in einigen Teilen kann sie aber auch mechanisch, pneumatisch, hydraulisch oder lichtleitend sein.

2.7.

„Steuerungsbereich” ist der Bereich, in dem das System die Steuerung für eine bestimmte Ausgangsgröße sicherstellen sollte.

2.8.

„Systemgrenzen” sind die Grenzen der externen physikalischen Faktoren, in denen das System die Steuerung aufrechterhalten kann.

3.

Unterlagen

3.1.

Anforderungen

Der Hersteller muss ein Dokumentationspaket zur Verfügung stellen, das Angaben über die Grundkonstruktion des komplexen elektronischen Fahrzeugkontrollsystem, für das die Typgenehmigung gilt (nachfolgend „System” genannt) und die Mittel zur Verbindung mit anderen Fahrzeugsystemen oder zur direkten Steuerung von Ausgangsgrößen enthält. Die Funktion(en) des „Systems” und das Sicherheitskonzept müssen darin nach den Festlegungen des Herstellers erläutert sein. Die Dokumentation muss kurz und knapp sein, jedoch ausreichen, um nachzuweisen, dass bei der Entwicklung des Systems mit dem erforderlichen Expertenwissen aus allen betreffenden Systembereichen vorgegangen wurde. Für Zwecke der periodischen technischen Überwachung ist anzugeben, wie geprüft werden kann, ob das „System” im funktionsfähigen Zustand ist.

3.1.1. Die Dokumentation muss folgende zwei Teile umfassen:

a)

Das formale Dokumentationspaket für die Genehmigung mit den in Abschnitt 3 genannten Angaben (außer den Angaben nach Nummer 3.4.4), das dem Technischen Dienst vorzulegen ist, wenn der Antrag auf Erteilung der Typgenehmigung gestellt wird. Es dient als Grundlage für die Verifikation nach Nummer 4 dieses Anhangs;

b)

zusätzliches Material und Analysedaten nach Nummer 3.4.4, die vom Hersteller aufzubewahren, aber zum Zeitpunkt der Typgenehmigung zwecks Prüfung offen zu legen sind.

3.2.

Beschreibung der Funktionen des „Systems”

Es ist eine Beschreibung mit einer einfachen Erläuterung aller Steuerfunktionen des „Systems” und der zur Erreichung der Zielgrößen angewandten Verfahren, einschließlich einer Beschreibung des Steuerungsmechanismus (der Steuerungsmechanismen), vorzulegen.

3.2.1. Es ist eine Liste aller Eingangsgrößen und abgetasteten Größen mit Angabe des Betriebsbereichs vorzulegen.

3.2.2. Es ist eine Liste aller vom „System” gesteuerten Ausgangsgrößen vorzulegen und jeweils anzugeben, ob die Steuerung direkt oder über ein anderes Fahrzeugsystem erfolgt. Der Steuerungsbereich ist für jede dieser Größen anzugeben.

3.2.3. Die Systemgrenzen sind anzugeben, wenn sie für die Wirkung des Systems relevant sind.

3.3.

Systemplan und Schaltbilder

3.3.1.

Liste der Bauteile

Es ist eine Liste vorzulegen, in der alle Baueinheiten des „Systems” zusammengestellt und die anderen Fahrzeugsysteme aufgeführt sind, die für die betreffende Steuerfunktion erforderlich sind. Es ist eine Umrisszeichnung vorzulegen, aus der hervorgeht, wie diese Baueinheiten kombiniert sind, außerdem müssen sowohl die räumliche Verteilung der Bauteile als auch die Verbindungen deutlich zu erkennen sein.

3.3.2.

Funktionen der Baueinheiten

Die Funktion jeder Baueinheit des „Systems” ist darzustellen, und die Signale, die sie mit anderen Baueinheiten oder anderen Fahrzeugsystemen verbinden, sind anzugeben. Dazu kann ein beschriftetes Blockschaltbild, ein anderes Schaltbild oder eine Beschreibung mit Schaltbild verwendet werden.

3.3.3.

Verbindungen

Verbindungen innerhalb des „Systems” sind wie folgt darzustellen: elektrische Übertragungsverbindungen in einem Schaltbild, optische Übertragungseinrichtungen in einem faseroptischen Schaltplan, pneumatische oder hydraulische Übertragungseinrichtungen in einem Rohrleitungsplan und mechanische Verbindungen in einer vereinfachten schematischen Darstellung.

3.3.4.

Signalfluss und Prioritäten

Zwischen diesen Übertragungsverbindungen und den zwischen den Baueinheiten übermittelten Signalen muss eine deutliche Entsprechung bestehen. Die Prioritäten von Signalen auf Multiplexdatenbussen sind immer dann anzugeben, wenn sie bei der Anwendung dieser Regelung einen Einfluss auf die Wirkung oder die Sicherheit haben können.

3.3.5.

Kennzeichnung von Baueinheiten

Jede Baueinheit muss deutlich und eindeutig gekennzeichnet sein (z. B. durch Beschriftung bei Hardware und Kennzeichnung oder einen Softwarecode bei Software), damit die Entsprechung zwischen der Hardware und der Dokumentation überprüft werden kann. Sind Funktionen innerhalb einer einzelnen Baueinheit oder innerhalb eines einzelnen Computers kombiniert, aber im Blockschaltbild der Deutlichkeit und der Einfachheit halber in Mehrfachblöcken dargestellt, dann braucht nur ein einziges Hardware-Kennzeichen verwendet zu werden. Der Hersteller muss unter Angabe dieses Kennzeichens bestätigen, dass das gelieferte Gerät den Unterlagen entspricht.

3.3.5.1.

Das Kennzeichen steht für eine bestimmte Hardware- und Softwareversion, und wenn die letztgenannte so geändert wird, dass sich dadurch auch die in dieser Regelung definierte Funktion der Baueinheit verändert, muss dieses Kennzeichen ebenfalls geändert werden.

3.4.

Sicherheitskonzept des Herstellers

3.4.1. Der Hersteller muss bestätigen, dass die zur Erreichung der Zielgrößen des „Systems” gewählte Strategie im fehlerfreien Zustand den sicheren Betrieb von Systemen, für die die Vorschriften dieser Regelung gelten, nicht beeinträchtigt.

3.4.2. In Bezug auf die bei dem „System” verwendete Software ist die Grundarchitektur zu erläutern, und die bei der Entwicklung angewandten Verfahren und Hilfsmittel sind anzugeben. Der Hersteller muss darauf vorbereitet sein, dass er gegebenenfalls nachweisen muss, wie bei der Entwicklung vorgegangen wurde, um die Systemlogik umzusetzen.

3.4.3. Der Hersteller muss dem Technischen Dienst eine Beschreibung der Konzepte vorlegen, die bei der Entwicklung des „Systems” vorgesehen wurden, um den sicheren Betrieb im Fehlerfall zu gewährleisten. Bei einem Fehlerfall im „System” können zum Beispiel folgende Konzepte genutzt werden:

a)

Rückfall auf ein Teilsystem,

b)

Übergang auf ein getrenntes Backup-System,

c)

Wegschalten der übergeordneten Funktion.

Im Fehlerfall wird der Fahrzeugführer z. B. durch ein Warnsignal oder durch eine Nachrichtenanzeige gewarnt. Wenn das System nicht vom Fahrzeugführer dadurch deaktiviert worden ist, dass z. B. der Zündschalter (Anlassschalter) in die Aus-Stellung gebracht oder die betreffende Funktion ausgeschaltet wurde, wenn dafür ein besonderer Schalter vorhanden ist, muss die Warnung erfolgen, solange der Fehlerzustand anhält.

3.4.3.1.

Wird bei dem gewählten Konzept bei bestimmten Fehlerzuständen der Rückfall auf ein Teilsystem ausgewählt, sind diese Zustände und die daraus resultierenden Funktionseinschränkungen anzugeben.

3.4.3.2.

Wird bei dem gewählten Konzept ein zweites Werkzeug (Backup-Werkzeug) zur Erreichung der Zielgrößen des Fahrzeugsteuersystems ausgewählt, sind die Prinzipien des Übergangsmechanismus, die Logik, die Redundanz und alle vorgesehenen Backup-Überwachungsmerkmale darzustellen und die daraus resultierenden Funktionseinschränkungen anzugeben.

3.4.3.3.

Wenn bei dem gewählten Konzept das Wegschalten der übergeordneten Funktion ausgewählt wird, müssen alle entsprechenden Ausgangssteuersignale, die mit dieser Funktion zusammenhängen, gesperrt werden, damit das Ausmaß der vorübergehenden Störung begrenzt wird.

3.4.4. Die Dokumentation muss durch eine Analyse ergänzt werden, in der in allgemeinen Worten dargestellt ist, wie das System sich beim Auftreten eines der definierten Fehler verhält, die eine Auswirkung auf die Fahrzeugsteuerung oder die Fahrzeugsicherheit haben. Dazu können die Ergebnisse einer Fehler-Möglichkeits- und -Einfluss-Analyse (FMEA), einer Fehlerbaumanalyse (FTA) oder eines vergleichbaren, zur Untersuchung von Sicherheitsaspekten geeigneten Analyseverfahrens dargestellt werden. Die gewählten analytischen Ansätze sind vom Hersteller festzulegen und zu aktualisieren und zum Zeitpunkt der Typgenehmigung zur Prüfung durch den Technischen Dienst offenzulegen.

3.4.4.1.

In dieser Dokumentation sind die überwachten Parameter aufzulisten, und für jeden Fehlerzustand nach Nummer 3.4.4 ist das Warnsignal anzugeben, das dem Fahrzeugführer und/oder Wartungspersonal/Prüfer zu geben ist.

4.

Verifikation und Prüfung

4.1. Die Arbeitsweise des „Systems” , die in der Dokumentation nach Nummer 3 dargestellt ist, wird wie folgt geprüft:

4.1.1.

Verifikation der Arbeitsweise des „Systems”

Zum Nachweis der normalen Betriebswerte ist die Verifikation der Leistungsfähigkeit des Fahrzeugsystems in fehlerfreiem Zustand anhand der Grundspezifikation der Vergleichspunkte des Herstellers durchzuführen, sofern dies nicht im Rahmen einer vorgeschriebenen Leistungsprüfung als Teil des Genehmigungsverfahrens nach dieser oder einer anderen Regelung erfolgt.

4.1.2.

Verifikation des Sicherheitskonzepts nach Nummer 3.4

Die Reaktion des „Systems” ist nach Ermessen der Genehmigungsbehörde unter dem Einfluss einer Störung in jeder einzelnen Baueinheit zu prüfen, indem entsprechende Ausgangssignale an elektrische Baueinheiten oder mechanische Teile übertragen werden, um die Auswirkungen interner Fehler innerhalb der Baueinheit zu simulieren. Die Ergebnisse der Verifikation müssen mit der dokumentierten Zusammenfassung der Fehleranalyse übereinstimmen, so dass auf Grund der Gesamtwirkung das Sicherheitskonzept und die Ausführung als ausreichend bestätigt werden können.