Stefan Lohmaier
c54a9c55d2
Validate / build-test (macos-latest) (push) Failing after 4s
Validate / build-test (windows-latest) (push) Failing after 15s
Validate / build-test (ubuntu-latest) (push) Failing after 15s
Validate / reports (push) Has been skipped
Release / release (push) Successful in 50s
Neue Word-Dokumente (alle aus Markdown via pandoc): Safety (docs/safety/): - HARA.docx — Hazard Analysis & Risk Assessment, leitet ASIL-D ab - Safety-Case.docx — Argumentation pro Safety Goal (GSN-Stil) - FMEDA.docx — Pro-Komponente Failure Modes + Diagnostic Coverage - MISRA-Compliance-Statement.docx — formaler MISRA-Nachweis - Verification-Report.docx — V-Modell rechte Seite Zusammenfassung - Tool-Qualification-Cppcheck.docx — Tool-Qual (TCL2/ASIL-D) Manuals (docs/manuals/): - User-Manual.docx — Fahrerhandbuch-Auszug - Service-Manual.docx — Werkstatt-Doku mit UDS-DTCs CI-Erweiterungen: - Doxyfile + `make docs` — API-Dokumentation aus src/ - tools/generate_test_report.py + `make test-report` — Test-Summary HTML - validate.yml: Doxygen + Test-Report als CI-Artefakte - release.yml: alle Word-Docs + Engineering-Artefakte ins Release-Bundle README: - Komplette Tour durch alle Artefakte - Repo-Struktur-Diagramm aktualisiert
8.1 KiB
8.1 KiB
doc-id, version, status, datum
| doc-id | version | status | datum |
|---|---|---|---|
| SLM-EPB-HARA-001 | 1.0 | Freigegeben | 2026-05-12 |
Hazard Analysis & Risk Assessment (HARA)
| Feld | Wert |
|---|---|
| Projekt | demo-epb (Elektrische Parkbremse) |
| Dokument-ID | SLM-EPB-HARA-001 |
| Datum | 2026-05-12 |
| Version | 1.0 |
| Status | Freigegeben |
| Norm | ISO 26262 Part 3 (Concept Phase) |
| Erstellt von | Stefan Lohmaier |
| Geprueft von | (Tech Lead, im Realprojekt unabhaengig) |
| Freigegeben von | (Safety Manager, im Realprojekt unabhaengig) |
1. Zweck
Identifikation und Klassifikation aller relevanten Hazards der Elektrischen Parkbremse (EPB) gemaess ISO 26262-3. Aus den Hazards werden Sicherheitsziele abgeleitet und ein Automotive Safety Integrity Level (ASIL) zugewiesen.
2. Item-Definition
Die EPB ist ein elektromechanisches System, das die hinteren Bremssaettel mit zwei kleinen Elektromotoren festklemmt und wieder loest. Item-Boundary (ISO 26262-3 §5):
- Innerhalb: EPB-ECU, beide Caliper-Motoren, EPB-Schalter, Status-LED
- Aussen: ESP, Motormanagement, Bremssystem (hydraulisch), Lenkung
- Schnittstellen: CAN-Bus, Wheel-Speed-Sensoren, Inclinometer
3. Operational Situations & Hazards
Die folgenden Betriebssituationen und Hazards wurden im Concept-Workshop (2026-05-11) identifiziert:
3.1 Hazard-Liste
| H-ID | Hazard | Betriebs-Situation |
|---|---|---|
| H-01 | Ungewolltes Loesen der Parkbremse im Stillstand | Fahrzeug parkt am Hang, Fahrer aus |
| H-02 | Ungewolltes Festklemmen waehrend der Fahrt | Fahrt > 10 km/h |
| H-03 | Keine Apply-Reaktion auf Fahrer-Anforderung | Stillstand, Fahrer betaetigt Schalter |
| H-04 | Verlust der Klemmkraft im Hold-Zustand | Parkphase laenger als 1 h |
| H-05 | Motorschaden durch Ueberstrom | Aktor-Mechanik blockiert |
| H-06 | Falsche Hill-Hold-Uebergabe (Rollen am Berg) | Anfahrt am Berg |
| H-07 | Keine Release-Reaktion bei Anfahrt | Stillstand, Fahrer will losfahren |
| H-08 | LED-Anzeige falsch | beliebig |
3.2 Severity / Exposure / Controllability
Klassifikation nach ISO 26262-3 §6:
| Severity | Bedeutung |
|---|---|
| S0 | Keine Verletzungen |
| S1 | Leichte / moderate Verletzungen |
| S2 | Schwere Verletzungen (Ueberleben wahrscheinlich) |
| S3 | Lebensgefaehrliche Verletzungen (Ueberleben fraglich) |
| Exposure | Bedeutung |
|---|---|
| E0 | Sehr unwahrscheinlich |
| E1 | Sehr seltene Situation |
| E2 | Seltene Situation |
| E3 | Mittlere Wahrscheinlichkeit |
| E4 | Haeufige Situation |
| Controllability | Bedeutung |
|---|---|
| C0 | Allgemein beherrschbar |
| C1 | Einfach beherrschbar (>99% der Fahrer) |
| C2 | Normal beherrschbar (>90% der Fahrer) |
| C3 | Schwer beherrschbar oder unbeherrschbar |
3.3 ASIL-Determination
| H-ID | Beschreibung | S | E | C | ASIL |
|---|---|---|---|---|---|
| H-01 | Ungewolltes Loesen, Parkphase | S3 | E4 | C3 | D |
| H-02 | Ungewolltes Festklemmen waehrend Fahrt | S3 | E4 | C3 | D |
| H-03 | Keine Apply-Reaktion auf Anforderung | S2 | E4 | C2 | B |
| H-04 | Klemmkraftverlust im Hold | S3 | E4 | C3 | D |
| H-05 | Motorschaden durch Ueberstrom | S1 | E3 | C2 | A |
| H-06 | Hill-Hold-Versagen (Rollen am Berg) | S3 | E3 | C3 | C |
| H-07 | Keine Release-Reaktion | S1 | E4 | C2 | A |
| H-08 | LED-Anzeige falsch | S0 | -- | -- | QM |
ASIL-Matrix laut ISO 26262-3 Table 4 angewandt. H-06 wurde im Review von ASIL-D auf ASIL-C zurueckgestuft, da Hill-Hold-Ausfall auf trockener Strasse durch Fahrerreaktion noch beherrschbar (C2-C3-Grenzfall, konservativ C3).
4. Sicherheitsziele (Safety Goals)
Aus den Hazards werden folgende Safety Goals abgeleitet:
| SG-ID | Sicherheitsziel | ASIL | Abgedeckte Hazards |
|---|---|---|---|
| SG-01 | EPB darf sich im Stillstand nicht ungewollt loesen | D | H-01, H-04 |
| SG-02 | EPB darf nicht ungewollt waehrend der Fahrt festklemmen | D | H-02 |
| SG-03 | EPB muss Schutz gegen Aktor-Ueberstrom bieten | A | H-05 |
| SG-04 | Hill-Hold muss zuverlaessig an Apply Controller uebergeben | C | H-06 |
| SG-05 | EPB muss auf Fahreranforderung in spezifizierter Zeit reagieren | B | H-03, H-07 |
5. Safe State
Definitionen aus ISO 26262-3 §7.4.2.5:
| Item / Funktion | Safe State |
|---|---|
| Apply-Phase | Aktor stoppen, Status auf APPLIED setzen |
| Hold-Phase | Klemmkraft beibehalten (passiv) |
| Release-Phase | Auf Apply zurueckkehren, Klemmkraft halten |
| Bei Hardware-Fehler | APPLIED-Zustand erzwingen (verhindert Wegrollen) |
Der ueber alle Faelle "konservative" Safe State ist APPLIED: lieber zu viel klemmen als zu wenig.
6. FTTI (Fault Tolerant Time Interval)
| Hazard | FTTI | Begruendung |
|---|---|---|
| H-01 | 5 s | Wegrollen am Berg startet typ. nach 1-2 s, Hand-Aktion mglich nach ca. 5 s |
| H-02 | 100 ms | Stoss-Verlangsamung bei 50 km/h muss innerhalb 100 ms erkannt werden |
| H-04 | 30 s | Klemmkraftverlust akkumuliert langsam, periodische Pruefung alle 50ms reicht |
| H-06 | 500 ms | Hill-Hold-Uebergabe muss vor Rollbeginn (< 500ms) abgeschlossen sein |
7. Funktionale Sicherheitsanforderungen (FSR)
Aus den Safety Goals werden in reqs/sys/ die SYS-Anforderungen abgeleitet
(siehe Traceability-Matrix). Mapping:
| SG-ID | SYS-Anforderungen |
|---|---|
| SG-01 | SYS-001, SYS-004 |
| SG-02 | SYS-002 (Apply-Plausibilisierung), SYS-005 |
| SG-03 | SYS-007 |
| SG-04 | SYS-005, SYS-006 |
| SG-05 | SYS-002, SYS-003 |
8. Aenderungshistorie
| Version | Datum | Aenderung | Autor |
|---|---|---|---|
| 0.1 | 2026-05-11 | Initialer Entwurf | S. Lohmaier |
| 1.0 | 2026-05-12 | Erstfreigabe nach Review | S. Lohmaier |