SICHERHEITSAUDIT

1.

Allgemeines

1.1.

In diesem Anhang sind die besonderen Anforderungen für die Dokumentation, die Fehlerstrategie und die Überprüfung hinsichtlich der Sicherheitsaspekte elektronischer Steuersysteme und komplexer elektronischer Fahrzeugsteuersysteme von Notfall-Spurhalteassistenten festgelegt.

1.1.1.

Elektronische Steuersysteme, die allgemein durch Software gesteuert sind, bestehen aus diskreten Funktionsbauteilen, wie Sensoren, elektronischen Steuergeräten und Stellgliedern, und sind durch Übertragungsverbindungen miteinander verbunden. Sie können mechanische, elektropneumatische oder elektrohydraulische Bauelemente umfassen.

1.2.

In diesem Anhang sind nicht die Leistungskriterien des durch diese Verordnung abgedeckten Systems festgelegt, sondern es werden die Vorgehensweise bei der Systementwicklung und die Angaben behandelt, die dem technischen Dienst im Hinblick auf die Typgenehmigung zu übermitteln sind.

1.3.

Aus diesen Angaben muss hervorgehen, dass bei dem System unter normalen und Störungsbedingungen alle zutreffenden, in Anhang I Teil 2 aufgeführten Leistungsanforderungen eingehalten werden, und dass es so ausgelegt ist, dass es im Betrieb keine sicherheitskritischen Risiken nach sich zieht.

2.

Dokumentation

2.1.

Anforderungen

Der Hersteller muss ein Dokumentationspaket zur Verfügung stellen, das Angaben über die Grundkonstruktion des Systems und die Mittel zur Verbindung mit anderen Fahrzeugsystemen oder zur direkten Steuerung von Ausgangsgrößen enthält. Die Funktionen des Systems einschließlich der Kontrollstrategien und das Sicherheitskonzept müssen darin nach den Festlegungen des Herstellers erläutert sein. Die Dokumentation muss kurz und knapp sein, jedoch ausreichen, um nachzuweisen, dass bei der Entwicklung des Systems mit dem erforderlichen Expertenwissen aus allen betreffenden Systembereichen vorgegangen wurde. Für Zwecke der regelmäßigen technischen Überwachung ist anzugeben, wie überprüft werden kann, ob das System in funktionsfähigem Zustand ist.

Der technische Dienst bewertet die Dokumentation, um nachzuweisen, dass das System:

a)

so ausgelegt ist, dass es unter normalen und Störungsbedingungen im Betrieb keine sicherheitskritischen Risiken nach sich zieht;

b)

unter normalen und Störungsbedingungen alle zutreffenden Leistungsanforderungen einhält, die in dieser Verordnung an anderer Stelle aufgeführt sind und

c)

nach dem vom Hersteller angegebenen Entwicklungsprozess/Verfahren entwickelt wurde und mindestens die in Absatz 2.4.4 aufgeführten Schritte umfasst.

2.1.1.

Die Dokumentation muss zwei Teile umfassen:

a)

Die förmliche Dokumentation für die Genehmigung, die die in Absatz 2 aufgeführten Unterlagen enthält (außer den Angaben nach Absatz 2.4.4) und die dem technischen Dienst vorzulegen ist, wenn der Antrag auf Erteilung der Typgenehmigung gestellt wird. Diese Dokumentation dient dem technischen Dienst als Grundlage für die Verifikation nach Absatz 3. Der technische Dienst stellt sicher, dass diese Unterlagen für einen mit der Genehmigungsbehörde vereinbarten Zeitraum verfügbar bleiben. Dieser Zeitraum, gerechnet von dem Zeitpunkt, an dem die Herstellung des Fahrzeugs endgültig eingestellt wird, muss mindestens 10 Jahre dauern.

b)

Zusätzliches Material und Analysedaten nach Absatz 2.4.4, die vom Hersteller aufzubewahren, zum Zeitpunkt der Typgenehmigung aber zur Prüfung offen zu legen sind. Der Hersteller stellt sicher, dass dieses Material und diese Analysedaten für einen Zeitraum von 10 Jahren, gerechnet von dem Zeitpunkt, an dem die Herstellung des Fahrzeugs endgültig eingestellt wird, verfügbar bleiben.

2.2.

Es ist eine Beschreibung mit einer einfachen Erläuterung aller Funktionen, einschließlich der Steuerstrategien des Systems und der zur Erreichung der Zielgrößen angewandten Verfahren, einschließlich einer Beschreibung der Steuerungsmechanismen, vorzulegen.

Alle beschriebenen Funktionen, die übersteuert werden können, sind zu nennen, und es ist eine genauere Beschreibung der veränderten Konzeption des Betriebs der Funktion zur Verfügung zu stellen.

2.2.1.

Es ist eine Liste aller Eingangsgrößen und abgetasteten Größen mit Angabe des Betriebsbereichs sowie eine Beschreibung, wie sich jede Variable auf das Systemverhalten auswirkt, vorzulegen.

2.2.2.

Es ist eine Liste aller vom System gesteuerten Ausgangsgrößen vorzulegen und jeweils anzugeben, ob die Steuerung direkt oder über ein anderes Fahrzeugsystem erfolgt. Der Bereich, in dem das System für jede Ausgangsgröße wahrscheinlich die Steuerung übernimmt, ist anzugeben.

2.2.3.

Die Grenzen des funktionalen Betriebs (d. h. die äußeren physikalischen Grenzen, innerhalb derer das System die Steuerung aufrechterhalten kann) sind gegebenenfalls im Hinblick auf die Systemleistung anzugeben.

2.3.

Systemplan und schematische Darstellung

2.3.1.

Liste der Bauteile

Es ist eine Liste vorzulegen, in der alle Baueinheiten des Systems zusammengestellt und die anderen Fahrzeugsysteme aufgeführt sind, die für die betreffende Steuerfunktion erforderlich sind.

Es ist eine Umrisszeichnung vorzulegen, aus der hervorgeht, wie diese Baueinheiten kombiniert sind, außerdem müssen sowohl die räumliche Verteilung der Bauteile als auch die Verbindungen deutlich zu erkennen sein.

2.3.2.

Funktionen der Baueinheiten

Die Funktion jeder Baueinheit des Systems ist darzustellen, und die Signale, die sie mit anderen Baueinheiten oder anderen Fahrzeugsystemen verbinden, sind anzugeben. Dazu kann ein beschriftetes Blockschaltbild, ein anderes Schaltbild oder eine Beschreibung mit Schaltbild verwendet werden.

2.3.3.

Verbindungen innerhalb des Systems sind wie folgt darzustellen: elektrische Übertragungsverbindungen in einem Schaltbild, pneumatische oder hydraulische Übertragungseinrichtungen in einem Rohrleitungsplan und mechanische Verbindungen in einer vereinfachten schematischen Darstellung. Die Übertragungsverbindungen sowohl zu als auch von anderen Systemen sind ebenfalls darzustellen.

2.3.4.

Zwischen den Übertragungsverbindungen und den zwischen den Baueinheiten übermittelten Signalen muss eine deutliche Entsprechung bestehen. Die Prioritäten von Signalen auf Multiplexdatenbussen sind immer dann anzugeben, wenn sie einen Einfluss auf die Wirkung oder die Sicherheit haben können.

2.3.5.

Kennzeichnung von Baueinheiten

Jede Baueinheit muss deutlich und eindeutig gekennzeichnet sein (z. B. durch Beschriftung bei Hardware und Kennzeichnung oder einen Softwarecode bei Software), damit die Entsprechung zwischen der Hardware und der Dokumentation überprüft werden kann.

Sind Funktionen innerhalb einer einzelnen Baueinheit oder innerhalb eines einzelnen Computers kombiniert, aber im Blockschaltbild der Deutlichkeit und der Einfachheit halber in Mehrfachblöcken dargestellt, dann braucht nur ein einziges Hardware-Kennzeichen verwendet zu werden. Der Hersteller muss unter Angabe dieses Kennzeichens bestätigen, dass das gelieferte Gerät den Unterlagen entspricht.

2.3.5.1.

Das Kennzeichen steht für eine bestimmte Hardware- und Softwareversion, und wenn die letztgenannte so geändert wird, dass sich dadurch auch die in dieser Verordnung definierte Funktion der Baueinheit verändert, muss dieses Kennzeichen ebenfalls geändert werden.

2.4.

Sicherheitskonzept des Herstellers

2.4.1.

Der Hersteller muss bestätigen, dass die zur Erreichung der Zielgrößen des Systems gewählte Strategie im fehlerfreien Zustand den sicheren Betrieb des Fahrzeugs nicht beeinträchtigt.

2.4.2.

In Bezug auf die bei dem System verwendete Software ist die Grundarchitektur zu erläutern, und die bei der Entwicklung angewandten Verfahren und Hilfsmittel sind anzugeben. Der Hersteller muss nachweisen, wie bei der Entwicklung vorgegangen wurde, um die Systemlogik umzusetzen.

2.4.3.

Der Hersteller muss dem technischen Dienst eine Beschreibung der Konzepte vorlegen, die bei der Entwicklung des Systems vorgesehen wurden, um den sicheren Betrieb im Fehlerfall zu gewährleisten. Bei einem Fehlerfall im System können zum Beispiel folgende Konzepte genutzt werden:

a)

Rückfall auf ein Teilsystem,

b)

Übergang auf ein getrenntes Backup-System,

c)

Wegschalten der übergeordneten Funktion.

Im Fehlerfall wird der Fahrzeugführer z. B. durch ein Warnsignal oder durch eine Nachrichtenanzeige gewarnt. Wenn das System nicht vom Fahrzeugführer dadurch deaktiviert worden ist, dass z. B. der Zündschalter (Anlassschalter) in die Aus-Stellung gebracht oder die betreffende Funktion ausgeschaltet wurde, wenn dafür ein besonderer Schalter vorhanden ist, muss die Warnung erfolgen, solange der Fehlerzustand anhält.

2.4.3.1.

Wenn bei dem gewählten Konzept bei bestimmten Fehlerzuständen der Rückfall auf ein Teilsystem ausgewählt wird, sind diese Zustände und die daraus resultierenden Funktionseinschränkungen anzugeben.

2.4.3.2.

Wenn bei dem gewählten Konzept ein zweites Werkzeug (Backup-Werkzeug) zur Erreichung der Zielgrößen des Fahrzeugsteuersystems ausgewählt wird, sind die Prinzipien des Übergangsmechanismus, die Logik, die Redundanz und alle vorgesehenen Backup-Überwachungsmerkmale darzustellen und die daraus resultierenden Funktionseinschränkungen anzugeben.

2.4.3.3.

Wenn bei dem gewählten Konzept das Wegschalten der übergeordneten elektronischen Steuerfunktion ausgewählt wird, müssen alle entsprechenden Ausgangssteuersignale, die mit dieser Funktion zusammenhängen, gesperrt werden, damit das Ausmaß der vorübergehenden Störung begrenzt wird.

2.4.4.

Die Dokumentation muss durch eine Analyse ergänzt werden, in der in allgemeinen Worten dargestellt ist, wie das System sich beim Auftreten einer dieser Gefahren oder Fehler verhält, die eine Auswirkung auf die Fahrzeugsteuerung oder die Fahrzeugsicherheit haben.

Die gewählten analytischen Ansätze sind vom Hersteller festzulegen und zu aktualisieren und zum Zeitpunkt der Typgenehmigung zur Prüfung durch den technischen Dienst offen zu legen.

Der technische Dienst führt eine Bewertung der Anwendung der analytischen Ansätze durch. Diese Beurteilung muss Folgendes umfassen:

a)

Prüfung des Sicherheitsansatzes auf Ebene des Konzepts (Fahrzeugs) einschließlich der Bestätigung, dass Folgendes berücksichtigt ist:

i)

Interaktionen mit anderen Fahrzeugsystemen

ii)

Fehlfunktionen des Systems im Anwendungsbereich dieser Verordnung

iii)

für die in Absatz 2.2 genannten Funktionen:

—

Situationen, in denen ein fehlerfreies System zu sicherheitskritischen Risiken führen kann (z. B. aufgrund eines fehlenden oder falschen Verständnisses der Fahrzeugumgebung);

—

vernünftigerweise vorhersehbare Fehlanwendung durch den Fahrer;

—

vorsätzliche Änderung des Systems.

Dieser Ansatz stützt sich auf eine für Systemsicherheit geeignete Gefahren-/Risikoanalyse.

b)

Prüfung des Sicherheitsansatzes auf Ebene des Systems. Dazu können die Ergebnisse einer Fehler-Möglichkeits- und -Einfluss-Analyse (FMEA), einer Fehlerbaumanalyse (FTA) oder eines vergleichbaren, zur Untersuchung von Sicherheitsaspekten geeigneten Analyseverfahrens dargestellt werden.

c)

Prüfung der Validierungspläne und -ergebnisse. Diese umfassen für die Validierung geeignete Validierungstests beispielsweise eine Prüfung nach dem Hardware-in-the-Loop-Verfahren (HiL), eine Betriebsprüfung des Fahrzeugs auf der Straße oder jeden anderen für die Validierung geeigneten Test.

Die Bewertung besteht aus Stichprobenkontrollen in Bezug auf ausgewählte Gefahren und Fehler, um festzustellen, ob die Erläuterung des Sicherheitskonzepts verständlich und logisch ist und ob die Validierungspläne geeignet sind und ausgefüllt wurden.

Der technische Dienst kann Prüfungen durchführen oder verlangen, dass Prüfungen wie in Absatz 3 dargelegt durchgeführt werden, um das Sicherheitskonzept zu überprüfen.

2.4.4.1.

In dieser Dokumentation sind die überwachten Parameter aufzulisten, und für jeden Fehlerzustand nach Absatz 2.4.4 ist das Warnsignal anzugeben, das dem Fahrzeugführer und/oder Wartungspersonal/Prüfer zu geben ist.

2.4.4.2.

In dieser Dokumentation sind die Maßnahmen zu beschreiben, die ergriffen wurden, um sicherzustellen, dass das System den sicheren Betrieb des Fahrzeugs nicht behindert, wenn die Leistung des Systems durch Umweltbedingungen (z. B. Klima, Temperatur, Eindringen von Staub oder Wasser, Eis) beeinträchtigt ist.

3.

Verifikation und Prüfung

3.1.

Die Arbeitsweise des Systems, die in der Dokumentation gemäß Absatz 2 dargestellt ist, ist wie folgt zu prüfen:

3.1.1.

Verifikation der Arbeitsweise des Systems

Der technische Dienst verifiziert das System unter normalen Bedingungen, indem er eine Reihe von ausgewählten und vom Hersteller in Absatz 2.2 beschriebenen Funktionen prüft.

Bei komplexen elektronischen Systemen müssen diese Prüfungen Szenarien umfassen, bei denen eine angegebene Funktion übersteuert wird.

3.1.1.1.

Die Ergebnisse müssen mit der Beschreibung, einschließlich der Kontrollstrategien, übereinstimmen, die der Hersteller in Absatz 2.2 vorlegt.

3.1.2.

Verifikation des Sicherheitskonzepts nach Absatz 2.4

Die Reaktion des Systems ist unter dem Einfluss einer Störung in jeder einzelnen Baueinheit zu prüfen, indem entsprechende Ausgangssignale an elektrische Baueinheiten oder mechanische Teile übertragen werden, um die Auswirkungen interner Fehler innerhalb der Baueinheit zu simulieren. Der technische Dienst führt diese Prüfung für mindestens eine einzelne Baueinheit durch, prüft jedoch nicht die Reaktion des Systems auf mehrere gleichzeitige Fehlfunktionen einzelner Baueinheiten.

Der technische Dienst überprüft, dass bei diesen Prüfungen Aspekte abgedeckt werden, die sich auf die Steuerbarkeit sowie Nutzerinformationen (Mensch-Maschine-Schnittstelle) auswirken.

4.

Berichterstattung durch den technischen Dienst

Die Berichterstattung über die Bewertung durch den technischen Dienst wird auf eine Weise durchgeführt, die ihre Nachverfolgbarkeit gewährleistet, z. B. werden die Fassungen der kontrollierten Unterlagen kodiert und in den Aufzeichnungen des technischen Dienstes aufgeführt.

Ein Beispiel für eine mögliche Gestaltung des Bewertungsformulars, das vom technischen Dienst an die Typgenehmigungsbehörde übermittelt wird, wird in der Anlage gegeben.