--- doc-id: SLM-EPB-HARA-001 version: 1.0 status: Freigegeben datum: 2026-05-12 --- # Hazard Analysis & Risk Assessment (HARA) | Feld | Wert | |----------------|------------------------------------------------| | Projekt | demo-epb (Elektrische Parkbremse) | | Dokument-ID | SLM-EPB-HARA-001 | | Datum | 2026-05-12 | | Version | 1.0 | | Status | Freigegeben | | Norm | ISO 26262 Part 3 (Concept Phase) | | Erstellt von | Stefan Lohmaier | | Geprueft von | (Tech Lead, im Realprojekt unabhaengig) | | Freigegeben von| (Safety Manager, im Realprojekt unabhaengig) | --- ## 1. Zweck Identifikation und Klassifikation aller relevanten Hazards der Elektrischen Parkbremse (EPB) gemaess ISO 26262-3. Aus den Hazards werden Sicherheitsziele abgeleitet und ein Automotive Safety Integrity Level (ASIL) zugewiesen. ## 2. Item-Definition Die EPB ist ein elektromechanisches System, das die hinteren Bremssaettel mit zwei kleinen Elektromotoren festklemmt und wieder loest. Item-Boundary (ISO 26262-3 §5): - **Innerhalb:** EPB-ECU, beide Caliper-Motoren, EPB-Schalter, Status-LED - **Aussen:** ESP, Motormanagement, Bremssystem (hydraulisch), Lenkung - **Schnittstellen:** CAN-Bus, Wheel-Speed-Sensoren, Inclinometer ## 3. Operational Situations & Hazards Die folgenden Betriebssituationen und Hazards wurden im Concept-Workshop (2026-05-11) identifiziert: ### 3.1 Hazard-Liste | H-ID | Hazard | Betriebs-Situation | |-------|------------------------------------------------------|------------------------------------| | H-01 | Ungewolltes Loesen der Parkbremse im Stillstand | Fahrzeug parkt am Hang, Fahrer aus| | H-02 | Ungewolltes Festklemmen waehrend der Fahrt | Fahrt > 10 km/h | | H-03 | Keine Apply-Reaktion auf Fahrer-Anforderung | Stillstand, Fahrer betaetigt Schalter | | H-04 | Verlust der Klemmkraft im Hold-Zustand | Parkphase laenger als 1 h | | H-05 | Motorschaden durch Ueberstrom | Aktor-Mechanik blockiert | | H-06 | Falsche Hill-Hold-Uebergabe (Rollen am Berg) | Anfahrt am Berg | | H-07 | Keine Release-Reaktion bei Anfahrt | Stillstand, Fahrer will losfahren | | H-08 | LED-Anzeige falsch | beliebig | ### 3.2 Severity / Exposure / Controllability Klassifikation nach ISO 26262-3 §6: | Severity | Bedeutung | |----------|------------------------------------------------------------| | S0 | Keine Verletzungen | | S1 | Leichte / moderate Verletzungen | | S2 | Schwere Verletzungen (Ueberleben wahrscheinlich) | | S3 | Lebensgefaehrliche Verletzungen (Ueberleben fraglich) | | Exposure | Bedeutung | |----------|------------------------------------------------------------| | E0 | Sehr unwahrscheinlich | | E1 | Sehr seltene Situation | | E2 | Seltene Situation | | E3 | Mittlere Wahrscheinlichkeit | | E4 | Haeufige Situation | | Controllability | Bedeutung | |------------------|------------------------------------------------------| | C0 | Allgemein beherrschbar | | C1 | Einfach beherrschbar (>99% der Fahrer) | | C2 | Normal beherrschbar (>90% der Fahrer) | | C3 | Schwer beherrschbar oder unbeherrschbar | ### 3.3 ASIL-Determination | H-ID | Beschreibung | S | E | C | ASIL | |-------|-------------------------------------------|----|----|----|-------| | H-01 | Ungewolltes Loesen, Parkphase | S3 | E4 | C3 | **D** | | H-02 | Ungewolltes Festklemmen waehrend Fahrt | S3 | E4 | C3 | **D** | | H-03 | Keine Apply-Reaktion auf Anforderung | S2 | E4 | C2 | B | | H-04 | Klemmkraftverlust im Hold | S3 | E4 | C3 | **D** | | H-05 | Motorschaden durch Ueberstrom | S1 | E3 | C2 | A | | H-06 | Hill-Hold-Versagen (Rollen am Berg) | S3 | E3 | C3 | C | | H-07 | Keine Release-Reaktion | S1 | E4 | C2 | A | | H-08 | LED-Anzeige falsch | S0 | -- | -- | QM | ASIL-Matrix laut ISO 26262-3 Table 4 angewandt. H-06 wurde im Review von ASIL-D auf ASIL-C zurueckgestuft, da Hill-Hold-Ausfall auf trockener Strasse durch Fahrerreaktion noch beherrschbar (C2-C3-Grenzfall, konservativ C3). ## 4. Sicherheitsziele (Safety Goals) Aus den Hazards werden folgende Safety Goals abgeleitet: | SG-ID | Sicherheitsziel | ASIL | Abgedeckte Hazards | |-------|--------------------------------------------------------------------|-------|----------------------| | SG-01 | EPB darf sich im Stillstand nicht ungewollt loesen | D | H-01, H-04 | | SG-02 | EPB darf nicht ungewollt waehrend der Fahrt festklemmen | D | H-02 | | SG-03 | EPB muss Schutz gegen Aktor-Ueberstrom bieten | A | H-05 | | SG-04 | Hill-Hold muss zuverlaessig an Apply Controller uebergeben | C | H-06 | | SG-05 | EPB muss auf Fahreranforderung in spezifizierter Zeit reagieren | B | H-03, H-07 | ## 5. Safe State Definitionen aus ISO 26262-3 §7.4.2.5: | Item / Funktion | Safe State | |------------------------|------------------------------------------------------------| | Apply-Phase | Aktor stoppen, Status auf APPLIED setzen | | Hold-Phase | Klemmkraft beibehalten (passiv) | | Release-Phase | Auf Apply zurueckkehren, Klemmkraft halten | | Bei Hardware-Fehler | APPLIED-Zustand erzwingen (verhindert Wegrollen) | Der ueber alle Faelle "konservative" Safe State ist **APPLIED**: lieber zu viel klemmen als zu wenig. ## 6. FTTI (Fault Tolerant Time Interval) | Hazard | FTTI | Begruendung | |--------|---------|-----------------------------------------------------------| | H-01 | 5 s | Wegrollen am Berg startet typ. nach 1-2 s, Hand-Aktion mglich nach ca. 5 s | | H-02 | 100 ms | Stoss-Verlangsamung bei 50 km/h muss innerhalb 100 ms erkannt werden | | H-04 | 30 s | Klemmkraftverlust akkumuliert langsam, periodische Pruefung alle 50ms reicht | | H-06 | 500 ms | Hill-Hold-Uebergabe muss vor Rollbeginn (< 500ms) abgeschlossen sein | ## 7. Funktionale Sicherheitsanforderungen (FSR) Aus den Safety Goals werden in `reqs/sys/` die SYS-Anforderungen abgeleitet (siehe Traceability-Matrix). Mapping: | SG-ID | SYS-Anforderungen | |-------|----------------------------------------------------| | SG-01 | SYS-001, SYS-004 | | SG-02 | SYS-002 (Apply-Plausibilisierung), SYS-005 | | SG-03 | SYS-007 | | SG-04 | SYS-005, SYS-006 | | SG-05 | SYS-002, SYS-003 | ## 8. Aenderungshistorie | Version | Datum | Aenderung | Autor | |---------|-------------|-------------------------|----------------| | 0.1 | 2026-05-11 | Initialer Entwurf | S. Lohmaier | | 1.0 | 2026-05-12 | Erstfreigabe nach Review| S. Lohmaier |