What does a reasonable risk mean?

Für diejenigen, die mit ISO26262 vertraut sind, denke ich, dass die Norm den Zusammenhang zwischen dem Begriff des angemessenen Risikos für die funktionale Sicherheit, der als Umsetzung von Maßnahmen zur Risikominderung erreicht wird, nicht sehr gut darstellt … und das ist wichtig, denn funktionale Sicherheit ist definiert als

das Fehlen eines unangemessenen Risikos

IEC61508 beschreibt diesen Zusammenhang irgendwie besser, insbesondere in Anhang A aus Teil 5 (SIL-Bestimmung), indem sie die Begriffe Risiko und Sicherheitsintegrität klärt und insbesondere auf das Konzept von ALARP hinweist. Was also vernünftig bedeutet oder im Kontext von IEC61508 tolerierbar ist, hängt in gewissem Maße mit einem Kosten-Nutzen-Kompromiss für eine bestimmte Organisation oder Gesellschaft zusammen, da Risiko=0 unerreichbar ist. Daher schlägt das Sicherheitsprinzip von ALARP drei „Regionen“ der Toleranz vor:

  • Weitgehend akzeptable Region (was könnte QM bedeuten, im Kontext von ISO26262)

  • Verträglichkeitsregion (in der Risikoanalyse und folglich Maßnahmen zur Risikominderungumgesetzt werden müssen)

  • Unerträglicher Bereich (der so weit wie möglich gesenkt werden muss).

Der wesentliche Aspekt dabei ist, dass ALARP sich mit dem Gesamtrisiko befasst, das sich aus allen Gefahren und Situationen, mit denen ein E/E-System (ISO26262) oder eine EUC (Equipment under control – IEC61508) konfrontiert werden kann. Einer Sicherheitsingenieur bei der Durchführung von Gefährdungsanalysen und derBerechnung von SILs oder ASILs mit individuellen Gefährdungen zu tun hat, ist dies ein wichtiger Unterschied.

Folglich ist es von grundlegender Bedeutung, die Schlüsselrolle hervorzuheben, die die Begrenzung des tolerierbaren (oder vernünftigen) Risikos als globales Sicherheitsziel festgelegt. Dies muss nicht unbedingt nur auf Maßnahmen nach dem Stand der Technik beruhen die in einem Industriestandard beschrieben sind, wie die in den ISO26262-Tabellen genannten technischen Maßnahmen, können aber auch

  • Diskussionen und Vereinbarungen mit verschiedenen am Antrag beteiligten Parteien

  • Internationale Diskussionen und Vereinbarungen

  • Beste unabhängige industrielle, fachliche und wissenschaftliche Beratung durch beratende Gremien

  • rechtliche Anforderungen

Es besteht ein Unterschied zwischen der Bestimmung des SIL (oder ASIL, für Kraftfahrzeuge), die für jede Gefahr getrennt durchgeführt wird, und dem allgemeinen vernünftigen Risiko, bei dem es um „die am meisten gefährdete Person“ für alle geht. bestehenden Risiken, und ich denke, dass dieser Artikel dies schlüssig veranschaulicht. Natürlich ist dasselbe Sicherheitsziel (oder Sicherheitsziel) kann für viele gefährliche Ereignisse gelten. Wesentlich ist dabei, dass man bedenken muss, dass wenn Durch die Anwendung der Maßnahmen zur Risikominderung für jeden SIL-Level werden diese letztendlich das Risiko unter das angemessene Gesamtrisiko. Der kniffligste Teil ist hier die Bestimmung dessen, was tolerierbar oder vernünftig ist.

Welchen typischen Wert sollte man als Sicherheitsziel für eine Anwendung, z.B. Autobahnpilot (als Automobil Beispiel)? Sollten wir die Mindestzahl von Unfällen auf Autobahnen rund um den Globus nehmen? Sicherlich werden wir unser Bestes tun, um die von der ISO26262 für die entsprechende Kritikalität vorgeschriebenen Maßnahmen anzuwenden, und zusätzlichMaßnahmen aus „anderen Technologien“ und aus „externen Einrichtungen zur Risikominderung“ hinzufügen, aber wann sollten wir aufhören? Ich denke, dieser Aspekt wird umso wichtiger werden, je mehr Semi- und Das autonome Fahren wird zum Einsatz kommen, weil sich die Sicherheitsingenieure mehr um andere Aspekte als um streng„sicherheitsrelevante Systeme“ kümmern müssen.