apis iq funktionale sicherheit 20100909 · Funktionale Sicherheit; Stand: 2010-09-09 (ENTWURF) 2 / 19 © APIS Informationstechnologien GmbH Inhalt Vorwort 3 Abkürzungen 3 Aufgabenstellung

Funktionale Sicherheit; Stand: 2010-09-09 (ENTWURF) 1 / 19 © APIS Informationstechnologien GmbH

Funktionale Sicherheit

ENTWURF 2010-09-09

nur zum persönlichen Gebrauch

Hinweise senden Sie bitte an:

[email protected]

Dieses Dokument enthält Inhalte, die derzeit von Experten geprüft werden.

Die jeweils aktuelle Version des Dokuments steht zum Download bereit:

http://iq.apis.de/FunktionaleSicherheit

Im APIS Forum wird im Board „Funktionale Sicherheit“ über geänderte Versionen informiert. Wünschen Sie

eine automatische Benachrichtigung, dann aktivieren Sie bitte die Abonnement-Funktionalität zu dem Board.

Falls Sie keinen Zugriff auf das Board haben, dann ist eine Freischaltung notwendig. Bitte senden Sie in diesem

Fall eine E-Mail an: [email protected]

Alle in dieser Unterlage enthaltenen Angaben sind ohne Gewähr und können ohne weitere Benachrichtigung geändert werden. Die APIS

Informationstechnologien GmbH geht hiermit keinerlei Verpflichtung ein. Die in dieser Unterlage beschriebene Software ist auf Basis eines

Lizenzvertrages geliefert.

Alle Rechte sind weltweit vorbehalten. Diese Unterlage darf, auch auszugsweise, nicht ohne ausdrückliche schriftliche Erlaubnis der APIS

Informationstechnologien GmbH weder vervielfältigt, weitergegeben, umgeschrieben, in einer Datenbank gespeichert oder in irgendeine Sprache

übersetzt werden. Die Vervielfältigung ist weder elektronisch, noch mechanisch, magnetisch oder manuell erlaubt.


Inhalt

Vorwort 3

Abkürzungen 3

Aufgabenstellung 3

Lösung 5 Strukturbaum und Fehlernetz 5 Berechnungen im Fehlernetz 6 Das FMEDA-Formblatt 7 Fehlertabelle 8

Risikograph zur ASIL-Klassifizierung 8 Safe oder Dangerous 9

Berechnungen 9

Funktionsnetzverfahren 10

Standardbauteilkataloge 10 Berechnungsstrategien 12 Sicherheitskonzept 14

Quantitative Kenngrößen und Formeln 14 Berechnung in der APIS IQ-Software 15

FTA 16 Minimalschnitt 16 Berechnungen im Fehlerbaum 17 FTA-Minimalschnitte 17

DC bei Entdeckungsmaßnahmen / Mechatronik-FMEA 18

Kontrollfragen 18

Anlage: Mögliche Agenda für einen Vortrag 18

Roadmap APIS IQ-Software und Funktionale Sicherheit 19

Best Practice 19 Validierungsreport mit Unterstützung der Minimalschnitte 19 Bauteile mit Fehlfunktionen 19


Vorwort

In diesem Dokument werden Verfahren zur Funktionalen Sicherheit beschrieben. Der Einsatz dieser Verfahren

ermöglicht die Entwicklung von elektrischen, elektronischen bzw. programmierbar elektronischen Systems

(E/E/PE-System), welche bei Auftreten zufälliger und/oder systematischer Ausfälle mit gefahrbringender

Wirkung im sicheren Zustand bleiben bzw. einen sicheren Zustand einnehmen.

Die IEC 61508 wird in der APIS IQ-Software unterstützt. In der folgenden Beschreibung wird die

anwendungsspezifische Norm ISO/DIS 26262 für den Bereich „Road Vehicles“ zur Verdeutlichung der

Funktionalitäten benutzt. Soll die Darstellung auf die IEC 61508 oder andere daraus abgeleitete Normen

übertragen werden, dann sind die Beispiele und Bezeichnungen entsprechend anzupassen.

In der APIS IQ-Software, und damit in gezeigten Screenshots, sind Bezeichnungen nur zum Teil eindeutig der

ISO/DIS 26262 zuzuordnen. Es wird z.B. die Bezeichnungen „SIL/ASIL“ benutzt, auch wenn im Kontext der

ISO/DIS 26262 nur „ASIL“ relevant ist.

Jürgen Eilers

E-Mail: [email protected]

Abkürzungen

E/E/PE-System elektrisch, elektronisch bzw. programmierbar elektronisches System

IEC International Electrotechnical Commission

ISO International Organization for Standardization

DIS Draft International Standard

SIL Security Integrity Level

ASIL Automotive Security Integrity Level

DC Diagnostic Coverage

FIT Failure in Time

Aufgabenstellung

Bei einem gegebenen System soll nachgewiesen werden, dass alle Anforderungen hinsichtlich funktionaler

Sicherheit erfüllt werden.


Quelle: ISO/DIS 26262-5 (2009) - Annex F: Figure F.1 - Example Diagram

Bild: Beispielsystem „Ansteuerung Cabrioverdeck“

Beim obigen System werden durch eine ECU (= µC) zwei Ventile über die Aktoren I61 und I71 geschaltet. Als

Eingangssignale stehen die Signale von den Raddrehzahlsensoren I1 und I2 zur Verfügung. Zusätzlich wird die

Temperatur mittels Sensor R3 gemessen. Eine Fahrerinformation ist über die LED L1 möglich. Ein Watchdog,

die Spannungsversorgung und einige elektronische Bauelemente runden das System ab.

Damit stellt sich das System wie folgt dar:

Bild: Beispielsystem „Ansteuerung Cabrioverdeck“ (mit Beschriftung)

Zunächst sollen Fehler bei Ventil 1 betrachtet werden. Jedem dort möglichen Fehler wird gemäß dem

Risikograph der ISO/DIS 26262-3 - Table 4 ein ASIL zugeordnet. Um die Berechnung korrekt durchführen zu

können sind auch die latenten Fehler zu betrachten.

In unserem Bespielfall konzentrieren wir uns auf den Top-Fehler „Valve 1 closes due to rf or sp“, der als ASIL C

klassifiziert wurde weil er die Funktion „Valve 1 shall not close when speed is higher than 100 km/h“ gefährdet.

Dies bedeutet praktisch, dass der Aktuator I61 fälschlicherweise bei einer Geschwindigkeit > 100 km/h

angesteuert wird.


Mit der Festlegung auf eine ASIL C ergeben sich folgende Anforderungen nach ISO/DIS 26262-5 (2009) -

Annex E Table E.1:

- Single point faults metric (SPFM): > 97%

- Latent faults metrc (LFM): > 80%

Als weitere Anforderung wird bei dem Top-Fehler „Valve 1 shall not close when speed is higher than 100

km/h“ festgelegt, dass die Fehlerrate (Failure in time (FIT)) <= 100 FIT sein muss.

Der Entwickler muss jetzt beantworten, ob das System bei diesem Top-Fehler die Anforderungen erfüllt.

Üblicherweise wird zur Berechnung auf die Erwartungswerte für die Ausfallraten von Bauteilen zurückgegriffen.

Lösung

Die APIS IQ-Software unterstützt die Systemmodellierung durch den Strukturbaum, das Funktionsnetz und das

Fehlernetz. Zunächst wird auf die Vorteile, die sich durch das Funktionsnetz ergeben, nicht eingegangen.

Strukturbaum und Fehlernetz

Zum Verständnis für das folgende Fehlernetz ist es sinnvoll einen Teil des erstellten Strukturbaums zu zeigen.

Bild: Strukturbaum

Die Basisfehler aus dem Bereich der Geschwindigkeitsmessung per Raddrehzahlsensor I1 sind im Fehlernetz mit

dem unerwünschten Top-Ereignis verknüpft.

Bild: Fehlernetz

Ausfallarten von Bauelementen sind Basisfehler. Das Fehlernetz zeigt anschaulich, welche Basisfehler zum Top-

Ereignis führen können. Wichtig im Zusammenhang mit der Funktionalen Sicherheit ist noch die Erkennung von


Fehlfunktionen, die als Diagnostic Coverage (DC) dokumentiert wird und auf beliebigen Ebenen im Fehlernetz

stattfinden kann.

Bei elektrisch, elektronischen Bauelementen gibt es zu betrachtende Fehlerarten und Erwartungswerte für die

Ausfallrate abhängig von Umgebungsbedingungen und von der Betriebsart. Details hierzu finden sich in

entsprechenden Normen und Standards; beispielhaft sei auf die Siemens-Norm SN 29500 verwiesen.

Berechnungen im Fehlernetz

Um die Berechnungen zu verstehen und mit der Ergebnisdarstellung vertraut zu werden wird das bisher gezeigt

Beispiel im Umfang reduziert.

Bild: Fehlernetz vereinfacht - Zwei Bauteile mit drei Fehlfunktionen

Wurden die Zielwerte für die Top-Fehlfunktion festgelegt (ASIL, SPFM, PFH), die Attributwerte für die

Basisfehlfunktionen eingegeben (FR) und die Diagnostic Coverage im Pfad hin zur Fehlfunktion eingegeben,

ggf. auch direkt bei der Basisfehlfunktion, dann ist folgende Darstellung möglich:

Bild: Fehlernetz vereinfacht - Anzeige der Parameter für funktionale Sicherheit.

Wie ist die gezeigte Information zu interpretieren? Beginnen wir mit dem rechten Teil des Fehlernetzes. Es

werden die angenommenen Fehlerraten der einzelnen Fehlfunktionen gezeigt und die Diagnostic Coverage bei

der übergeordneten Fehlfunktion.

Bild: Basisfehler mit Fehlerrate und Diagnostic Coverage (DC) bei der übergeordneten Fehlfunktion

Zur weiteren Berechnung wird die aktuelle Fehlerrate beim Basisfehler unter Berücksichtigung des besten DC-

Werts in Folgenrichtung reduziert. Man kann auch sagen, dass die DC-Werte im Fehlernetz, die in

Folgenrichtung vorhanden sind alle zum Basisfehler hin propagiert werden. Die Fehlerrate (FIT-Wert) des

Basisfehlers geht unter Berücksichtigung des DC-Max in die Berechnung ein.

Interessanter ist der linke Bereich im Fehlernetz mit der Top-Fehlfunktion. Dort werden die Zielwerte und die

berechneten Werte gezeigt und es gibt ein Ampelsymbol, welches schnell und anschaulich darüber informiert, ob

die Ziele erreicht werden.


Bild: Top-Ereignis mit Vorgaben und berechneten Werten

Zu sehen sind in der ersten Zeile mit Zusatzinformationen die Anforderungen, d.h. der ASIL und die geforderte

SPFM und PFH. In den weiteren Zeilen stehen die berechnete SPFM (SPFM calc.) und die berechnete PFH

(PFH calc.). Die Berechnung erfolgt im einfachsten Fall unter Berücksichtigung des Fehlernetzes nach der

gängigen Formel.

< Formel >

Unmittelbar vor den berechneten Werten informiert ein Ampelsymbol über den Status des Vergleichs und auch

darüber, ob alle zur Berechung notwendigen Werte vorhanden sind.

Zielwert wird nicht erreicht, Basisparameter unvollständig

Zielwert wird nicht erreicht

Zielwert wird erreicht, Basisparameter unvollständig

Zielwert wird erreicht

Wird der Zielwert nicht erreicht, oder sind die Basisparameter unvollständig, dann kann im Fehlernetz eine

andere, untergeordnete Fehlfunktion zum Fokuselement gemacht werden. Für den dann selektierten Teilbereich

erfolgen die Berechnung der Ist-Werte und die Überprüfung auf Vollständigkeit. Damit kann ein System iterativ

optimiert werden.

Das FMEDA-Formblatt

Die Parameter zur Funktionalen Sicherheit für die Basisfehler, z.B. die Fehlfunktionen bei Bauelementen,

werden im FMEDA-Formblatt übersichtlich gezeigt und können dort auch effizient bearbeitet werden.

Bild: FMEDA-Formblatt - Fehlerraten bei der Fehlerart (Failure Mode) erfasst

In der FMEDA-Tabelle werden die bei den Widerständen R11 und R12 vorhandenen Attributwerte zur

Funktionalen Sicherheit angezeigt, die dann in die Berechnung eingehen. In der Spalte „FM FIT“ (etwa in der

Mitte des FMEDA-Formblatts“ sind die Fehlerraten sichtbar, die bei der Fehlfunktion erfasst wurden. In den

letzten Spalten werden die FIT-Werte gezeigt, die in die Berechnung eingehen. Bei einer Diagnostic Coverage

(DC) von 99% ergeben sich die entsprechenden Dangerous Detectable (DD) und Dangerous Undetectable (DU)

Anteile.

Sollen die Fehlerraten im FMEDA-Formblatt erfasst werden, dann kann die Eingabe alternativ bei dem

Bauelement erfolgen und der prozentuale Anteil (% Distr.) der Fehlerart. Die Summe der prozentualen Anteile

darf 100% nicht überschreiten.


Bild: FMEDA-Formblatt - Fehlerrate beim Bauteil erfasst und über den prozentualen Anteil der Fehlerart

(Failure Mode) zugeordnet.

Die Spalte „Detectable“ zeigt an, ob eine Diagnostic Coverage für die Fehlerart vorhanden ist. Die Spalte

Diagnostic zeigt die (Vermeidungsmaßnahmen und) Entdeckungsmaßnahmen an, die bei der Fehlerart

vorhanden sind.

Ob die Fehlerrate bei Basisfehlern in die Klassen Safe Detectable (SD) und Safe Undetectable (SU) oder

Dangerous Detectable (DD) und Dangerous Undetectable (DD) eingestuft wird hängt von der ASIL-

Klassifizierung des Top-Fehlers ab. Als Hilfestellung für die ASIL-Klassifizierung dient der entsprechende

Risikograph

Fehlertabelle

Die Fehlertabelle kann über das Fehlernetz aufgerufen werden (Kontextmenü: Functional Safety Failure Table)

und zeigt ähnlich wie das FMEDA-Formblatt die Informationen zur Funktionalen Sicherheit in einer

tabellarischen Form.

Bild: Fehlertabelle

Risikograph zur ASIL-Klassifizierung

Ausgesetztsein E Kontrollierbarkeit C

C1 C2 C3

E1 QM QM QM

E2 QM QM QM

E3 QM QM A S1

E4 QM A B

E1 QM QM QM

E2 QM QM A

E3 QM A B S2

E4 A B C

E1 QM QM A

E2 QM A B

E3 A B C

Schwere S

S3

E4 B C D

Tabelle: Risikograph zur SIL-Klassifizierung nach ISO DIS 26262-3(2009) Tabelle 4

Die Einstufung des Top-Fehlers in die Klassen QM bzw. ASIL A bis ASIL D erfolgt über Schwere,

Ausgesetztsein und Kontrollierbarkeit mit folgenden Einstufungen nach ISO/DIS 26262-3(2009) Annex B.


Schwere (Severity

S0: keine Verletzungsgefahr

S1: geringe und mäßige Verletzungen

S2: ernste und möglicherweise tödliche Verletzungen

S3: schwere und wahrscheinlich tödliche Verletzungen

Häufigkeit des Ausgesetztseins (Exposure)

E1: selten: Situation tritt für die meisten Fahrer seltener als einmal pro Jahr auf

E2: gelegentlich: Situation tritt für die meisten Fahrer wenige Male pro Jahr auf

E3: ziemlich oft: Situation tritt für Durchschnittsfahrer einmal im Monat oder öfter auf

E4: oft: Situation die bei nahezu jeder Fahrt auftritt

Kontrollierbarkeit (Controllability)

C1: einfach kontrollierbar: weniger als 1% der durchschnittlichen Fahrer oder der anderen Verkehrsteilnehmer

können Schaden üblicherweise nicht abwenden

C2: durchschnittlich kontrollierbar: weniger als 15% der durchschnittlichen Fahrer oder der anderen

Verkehrsteilnehmer können Schaden üblicherweise nicht abwenden

C3: schwierig kontrollierbar: durchschnittliche Fahrer können Schaden üblicherweise nicht abwenden

Safe oder Dangerous

Bei einer Einstufung des Top-Fehlers in die Klasse QM wird die Fehlerrate des Basisfehlers in die Klassen Safe

Detectable (SD) bzw. Safe Undetectable (SU) eingeordnet. Jede ASIL-Klassifizierung führt in die Klassen

Dangerous Detectable (DD) bzw. Dangerous Undetectable (DU).

Ist der Top-Fehler ein latenter Fehler (Latent Failure), dann gehören die zugehörenden Basisfehler ebenfalls in

die Klassen SD bzw. SU.

Berechnungen

Basis für das Verständnis zur Berechnung sind Begriffsdefinitionen, die in ISO/DIS 26262-1 aufgeführt werden.

Die wichtigsten Bezeichnungen werden auszugsweise mit der zugehörigen Erläuterung aufgeführt. In der Norm

gibt es zu einzelnen Bezeichnungen weitere Anmerkungen.

fault abnormal condition that can cause an element or an item to fail

failure termination of the ability of an element or an item to perform a function as required

residual fault (λ RF) portion of a fault that itself leads to the violation of a safety goal, occurring in a

hardware element, where that portion of the fault is not covered by safety

mechanisms

single point fault (λ SPF) fault in an element that is not covered by safety mechanism and that leads directly to

the violation of a safety goal

latent fault multiple point fault whose presence is not detected by a safety mechanism nor

perceived by the driver within the multiple point fault detection interval

multiple point fault (λ MPF) individual fault that, in combination with other independent faults, leads to a

multiple point failure

multiple point failure failure, resulting from the combination of several independent faults, which leads

directly to the violation of a safety goal

perceived fault fault whose presence is deducted by the driver within a prescribed time interval

detected fault fault whose presence is detected by a safety mechanism within a prescribed time


safe fault (λ S) fault whose occurrence will not significantly increase the probability of violation of

a safety goal

Funktionsnetzverfahren

Das Funktionsnetzverfahren ergänzt die bisherige Beschreibung zur Berechnung der quantitativen Kenngrößen

beim Top-Fehler.

Über das Funktionsnetz werden die Fehler für die Berechnung berücksichtigt, die nicht direkt über das

Fehlernetz verknüpft sind. Das sind Fehler, die gemeinsam in einer funktionalen Baugruppe auftreten können,

allerdings keine unmittelbare Auswirkung auf den betrachteten Top-Fehler haben. Diese Fehler gehen in den

Anteil für die Safe Faults (= λS) ein. Ausgehend von der Funktion des Top-Fehlers werden hier alle Fehler

betrachtet, die bei den Basisfunktionen (erreichbar über das Funktionsnetz) verankert sind.

Standardbauteilkataloge

Grundlage für die Zuverlässigkeitsberechnung von Systemen sind die Ausfallraten von Bauelemente. Dazu wird

auf bekannte Daten bei Referenzbedingungen zurückgegriffen. Erwartungswerte für ein realisiertes System

können berechnet werden. Die jeweiligen Betriebsbedingungen sind die Parameter für ein geeignetes

Umrechnungsmodell.

Zur Bestimmung der Ausfallraten von Komponenten können eigene Standards erstellt werden und/oder es wird

auf gängige Standards zurückgegriffen. Mit den für Referenzbedingungen vorhandenen Daten für die jeweilige

Bauelementeart und einem Umrechnungsmodell wird der Erwartungswert für die Ausfallrate bei anderen

Einsatzbedingungen berechnet. Beispielsweise ändert sich bei der Bauelementart „passives Bauelement -

Widerstand - Kohleschicht - >100 kOhm“ der Referenzwert λref = 1 FIT auf 2,8 FIT, wenn die Temperatur 100

Grad beträgt.

Um die Arbeit zu erleichtern wurde der APIS CARM-NG-CSS Functional Safety realisiert. Die Adresse des

CARM-NG Servers wird bei den Arbeitsplatzeinstellungen der IQ-Software eingetragen.


Bild: Arbeitsplatzeinstellungen - CARM-Server / CARM-NG-Server

Es ist dann möglich über das FMEDA-Formblatt allen Systemelementen einen FIT-Wert zuzuordnen. Über den

Menüeintrag „Bearbeiten | Art des Bauteils / FIT-Wert bestimmen“ wird ein Dialog zur Auswahl der

Berechnungsstrategie und der Komponente geöffnet. Im selben Dialog können auch die Parameter für die

Berechnungsformel eingegeben werden.

Bild: Bauteil und FIT-Wert bestimmen mit Unterstützung des CSS Functional Safety


Nach Übernahme der berechneten FIT-Werte gibt es im FMEDA-Formblatt die Bauteilbezogenen FIT-Werte,

die dann noch anteilig den Fehlfunktionen zugeordnet werden indem der jeweilige prozentuale Anteil

eingegeben wird.

Bild: Bauelemente mit berechneten FIT-Werten basierend auf dem zentralen Bauteilekatalog

Bild: Fehlerarten der Bauelemente mit anteiligen FIT-Werten unter Berücksichtigung der Diagnostic

Coverage.

Berechnungsstrategien

Die Berechnungsstrategie zur Ermittlung der bauteilbezogenen FIT-Werte wird über einen CARM-NG-Server

Service, den CSS Funktional Safety, allen Nutzern der APIS IQ-Software zur Verfügung gestellt.

Berechnungsstrategien können vom Anwender selbst definiert werden. Damit ist es möglich vorhandene

Standards, wie z.B. die Siemens Norm SN 29500, als Grundlage für die weitere Nutzung in den CSS Functional

Safety zu integrieren.

Die Funktionalitäten bei einer Bewertungsstrategie werden anhand der Implementierung der SN 29000-4

„Erwartungswerte für Passive Bauelemente“ erklärt.

Wie bei jedem anderen CARM-Server Service (CSS) ist die Administration des CSS Functional Safety über den

Menüeintrag „CARM-Server | Administration“ erreichbar. Voraussetzung ist, dass in den

Arbeitsplatzeinstellungen der entsprechende Eintrag, der die Administration freischaltet, aktiv ist.


Bild: CARM-Server Administration mit aktivem Bereich CSS Functional Safety und selektierter

Bauelementkategorie „Widerstand“

Im Bereich CSS Functional Safety befinden sich vier Teilbereiche:

Calculation Strategy enthält den Namen der Berechnungsstrategie

Component enthält einen hierarchischen Baum mit Bauelementen; innerhalb des Baums werden

die zur Calculation Formula gehörenden Einträge vererbt

Calculation formula enthält die mathematische Berechnungsformel mit den Konstanten, Variablen und

„Choice“-Variablen

„Choice“-Definition Auswahl aus einer vordefinierten Liste

Die gezeigte Berechnungsformel kann als Muster für eigene Berechnungsformeln dienen. Die Festlegung der

Konstanten ist selbsterklärend. Hier nochmals der Hinweis, dass alle Informationen „vererbt“ werden, d.h. bei

einem konkreten Bauteil kann auf die Berechnungsformel und Konstante verzichtet werden, wenn diese bereits

auf einer übergeordneten Ebene im Hierarchiebaum definiert worden sind.


Bild: Berechnungsformel beim Widerstand

Bild: Definition der Konstanten und Festlegung der Variablen, die in der Berechnungsformel benötigt

werden.

Sicherheitskonzept

Die auf dem CARM-NG-Server hinterlegten Berechnungsstrategien enthalten sensible Informationen über das

Erfahrungswissen zu Bauelementen und Berechnungsstrategien. Aus diesem Grund unterliegt der Zugriff auf

den CARM-NG-Server einem rollenbasierten Konzept. Nur wenn Anwendern eine Zuordnung zur Rolle „FS

Admin“ und „FS User“ haben, stehen Ihnen die Informationen zur Verfügung, die im Rahmen des CSS

Functional Safety vorhanden sind. Die Zuordnung kann über einen Security Configuration Wizard

vorgenommen werden.

Eine Ankopplung an das Active Directory bzw. LDAP-Ankopplung ist möglich.

Quantitative Kenngrößen und Formeln

Eine detaillierte Beschreibung der quantitativen Kenngrößen zur Funktionalen Sicherheit befindet sich in der

ISO DIS 26262. Top-Fehler können alternativ in eine der folgenden Klassifizierungen erhalten: QM, ASIL A, -

B, - C, - D oder Latenter Fehler.

Wurde eine der ASIL-Klassen zugeordnet, dann ist das Anspruchniveau für SPFM-Soll und PFH-Soll mit den

berechneten Werten „SPFM berechnet“ und „PFH berechnet“ zu vergleichen.


Das Fehlermodell (Faults Model) der ISO/DIS unterscheidet bei den relevanten Fehlerarten zwischen Safe Fault

( λ S ), Detected Multiple Point Fault ( λ MPF detected ; auch λ MPF D), Perceived Multiple Point Fault ( λ MPF perceived ;

auch λ MPF P), Latent Multiple Point Faults ( λ MPF latent ; auch λ MPF L), Single Point Fault ( λ SPF ) und Residual Fault

( λ RP ).

Grafik: <Faults Model: ISO/DIS 26262-5 C.1-Seite 34)

Bild: Faults Model nach ISO/DIS 26262(2009)

Die Berechnung der Single Point Fault Metric (SPFM) ist in ISO/DIS 26262 wie folgt beschrieben:

SPFM berechnet = <Formel ISO/DIS 26262-5 C.2-Seite 36>

Grafik: <Grafische Darstellung der Single Point Fault Metric; ISO/DIS 26262-5 C.2-Seite 36>

Bild: Grafische Darstellung der Single Point Fault Metric (SPFM) nach ISO/DIS 26262(2009)

SPFM für einen Top-Fehler ist nach ISO/DIS 26262 der prozentuale Anteil aller relevanten Fehlerraten (λ), die

NICHT Dangerous Undetected (= λ SPF + λ RF) sind. SPFM wird also tendenziell besser, wenn zusätzliche

Bauelemente mit relevanten Fehlerraten hinzukommen, wenn diese z.B. Multiple Point Faults sind (Detected,

Perceived oder Latent). Alternativ kann versucht werden den Anteil im Bereich Dangerous Undetected durch

eine verbesserte Diagnostic Coverage zu reduzieren.

LFM berechnet = <Formel ISO/DIS 26262-5 C.3-Seite 37>

Grafik: <Grafische Darstellung der Latent Fault Metric; ISO/DIS 26262-5 C.3-Seite 37>

Bild: Grafische Darstellung der Latent Fault Metric (LFM) nach ISO/DIS 26262(2009)

Bei LFM wird nach ISO/DIS der prozentuale Anteil der NICHT Latenten Fehler betrachtet. Dabei gehören zur

Grundgesamtheit nur die relevanten Fehlerarten reduziert um die Dangerous Undetected (= λ SPF + λ RF), die nicht

auf die sich die Berechnung des prozentualen Anteils aller relevanten Fehlerraten, die NICHT Dangerous

Undetected

Berechnung in der APIS IQ-Software

In der APIS IQ-Software werden folgende Berechnungsformeln verwendet (Quelle: IQ-Software Hilfe, Stand

2010-09-02):

SFF (Einzelfehlerbetrachtung)

(lambda SU + lambda SD + lambda DD)

sff = ----------------------------------------------------------------------

(lambda SU + lmabda SD + lambda DD + lambda DU)

Hierbei sind die jeweiligen lambda-Werte die Summe aller lambda-Werte der Basisfehler aus dem Fehlernetz

des Einzelfehlers (Sicherheitsziel). Über das Funktionsnetz der Funktion, bei der der Einzelfehler verankert ist,

werden die lambdaS-Werte bestimmt.

SFF (Latente Betrachtung)

lambda DU

sff = 1 - -----------------------------

lambda - lambda RF


lambdaRF (Residual Faults) ::= entspricht dem lambdaDU der Einzelfehlerbetrachtung.

PFH-Wert:

ist die Summer aller lambdaDU-Werte der Basisfehler des Einzelfehlers bzw. des latenten Fehlers.

FTA

Die Fehlerbaumanalyse (fault tree analysis, FTA) bietet die Möglichkeit in den Kausalitätsbeziehungen der

Fehlfunktionen (Fehlerfolge - Fehlerart - Fehlerursache) die bei der FMEA implizit verwendeten ODER-

Operatoren zu sehen, diese zu ändern oder auch zusätzliche Operatoren einzufügen und dann die Fehlfunktionen

den zusätzlichen Operatoren zuzuordnen. Insbesondere ist es damit möglich auch UND-Operatoren einzufügen.

Bild: Fehlernetz „Valve 1 closes due to rf or sp“

Wird zu einem bestehenden Fehlernetz ein Fehlerbaum erstellt, dann sind zunächst dort ODER-Operatoren als

Zusatzknoten eingefügt.

Bild: Fehlerbaum „Valve 1 closes due to rf or sp“

Minimalschnitt

Zur Berechnung der quantitativen Kenngrößen für den Top-Fehler wird der Minimalschnitt verwendet. Dieser

zeigt auf, welche Basisfehler mit welchen Operatoren verknüpft zum Top-Fehler führen. In unveränderten

Fehlerbäumen, die auf Fehlernetzen basieren, werden redundanzfrei alle Basisfehler mit einem ODER-Operator

dem Top-Fehler zugeordnet.

Bild: Minimalschnitt zum Fehlerbaum „Valve 1 closes due to rf or sp“

Der Minimalschnitt ist die Grundlage für die Berechnungen im Fehlerbaum basierend auf ppm bzw. alpha, beta,

lambda und mü. Dies bedeutet, dass nur bei den Basisfehlern, die im Minimalschnitt enthalten sind die

entsprechenden Attributwerte erfasst werden müssen.

Im zuvor gezeigten Fall kann der Minimalschnitt in einfacher Weise manuell erstellt werden. Werden im

Fehlerbaum zusätzliche Operatoren eingefügt und gibt es eine Mischung aus ODER- / UND-Operatoren, dann ist

das Minimieren der Basisfehlfunktionen auf die Minimalsituation mit den dann notwendigen Operatoren nur mit

Programmunterstützung effizient möglich. Als Beispiel wir ein nur leicht erweiterter Fehlerbaum und der

zugehörige Minimalschnitt gezeigt.


Bild: Fehlerbaum „Valve 1 closes due to rf or sp“ mit Zusatzoperatoren, d.h. einer Mischung aus UND-

und ODER-Operatoren

Bild: Minimalschnitt zum Fehlerbaum „Valve 1 closes due to rf or sp“ mit Zusatzoperatoren

Berechnungen im Fehlerbaum

Auf die möglichen Berechnungen im Fehlerbaum mit Ausfallrate in ppm bzw. Nichtverfügbarkeit und

Fehlerhäufigkeit soll hier nicht eingegangen werden. Weitere Informationen hierzu gibt es in der integrierten

Hilfe bzw. in den entsprechenden Seminaren der Firma APIS Informationstechnologien GmbH.

FTA-Minimalschnitte

Die FTA-Minimalschnitte haben eine hohe Relevanz, wenn es im Bereich der Funktionalen Sicherheit um die

Fehlerklassen geht, die als so genannte Multiple Point Faults bezeichnet werden. In der ISO/DIS 26262-1(2009)

steht in einer Anmerkung zur Definition des Multiple Point Faults „A ‚multiple point fault’ can only be

recognized after the identification of ‚multiple point failure’ e.g. from cut set analysis of a fault tree.”.

Betrachte man in diesem Zusammenhang das Faults Model der ISO/DIS 26262-5 genauer und die Aussagen

dazu, dann wird der unmittelbare Zusammenhang zum Minimalschnitt deutlich.

Grafik: <Faults Model: ISO/DIS 26262-5 C.1-Seite 34)

Bild: Faults Model nach ISO/DIS 26262(2009)

Zitate aus der ISO/DIS 26262-5(2009)

“Multiple point fault: one fault of several independent faults that in combination, leads to a multiple point failure

(either perceived, detected of latent)”

“Safe fault: fault whose occurrence will not significantly increase the probability of violation of a safety goal”

“The distance ‘n’ (Anm: im kreisförmigen Faults Modell eine Schicht mit Abstand ‚n’ vom Zentrum) represents

the number of independent faults present at the same time that cause a violation of the safety goal (n = 1 for

single point faults, n = 2 for dual point faults, etc.);”

“Multiple point faults of distance strictly higher than n = 2 are to be considered as safe faults unless shown

relevant in the functional or technical safety concept.”

Basierend auf diesen Aussagen kann anhand der Minimalschnitte erkannt werden in welcher Schicht des Faults

Model sich die Basisfehler befinden. Ein Basisfehler, der im Minimalschnitt direkt über einen ODER-Operator

mit dem Top-Fehler verknüpft ist gehört zu den Basisfehlern der Ordnung 1. Ein Basisfehler, der gemeinsam mit

einem anderen Basisfehlern über einen UND-Operator zum Top-Fehler führt gehört zur Ordnung 2. Müssen

mehr als zwei Basisfehler gleichzeitig auftreten, dann gehören diese Kombinationen entsprechend der Anzahl

zur Ordnung ‚n’.

Im Rahmen einer Validierung nach ISO/DIS 26262 sollten die Minimalschnitte bis zu einer angemessenen

Ordnung betrachtet werden. Die Aussage, dass “Multiple point faults of distance strictly higher than n = 2 are to


be considered as safe faults …” betrachtet werden können ist nur unter bestimmten Annahmen gerechtfertigt.

Insbesondere muss sichergestellt sein, dass kein bisher nicht betrachteter Common Cause vergessen wurde.

In der APIS IQ-Software besteht die Möglichkeit die Mininmalschnitte zu exportieren, so dass diese

Informationen in einen Validierungsreport einfach eingebunden werden können.

DC bei Entdeckungsmaßnahmen / Mechatronik-FMEA

Bisher wurde davon ausgegangen, dass die Diagnostic Coverage entweder direkt als Attributwert beim

Basisfehler vorhanden ist oder bei einer anderen Fehlfunktion in der Kausalitätskette hin zur Top-Fehlfunktion

erfasst wurde. Zur Erinnerung, der beste DC-Wert wird zum Basisfehler propagiert und dann werden die als

Detectable bzw. Undetectable Anteile der Fehlerrate bei der Berechnung berücksichtigt.

Bild: Fehlernetz vereinfacht - Anzeige der Parameter für funktionale Sicherheit.

Es ist nun möglich das Fehlernetz um Element der Mechatronik-FMEA zu erweitern. Damit gibt es dort

zusätzlich Betriebszustände, Fehlerentdeckungen und Fehlerreaktionen. Bei der Fehlerentdeckung und der

Fehlerreaktion kann ebenfalls ein DC-Wert erfasst werden, der dann entsprechend beim Berechnen

berücksichtigt wird.

Bild: Fehlernetz mit Betriebszustand, Fehlerentdeckung und Fehlerreaktion sowie DC bei der

Fehlerentdeckung

Neben dieser Alternative zur Erfassung der Diagnostic Coverage ist es auch möglich die Diagnostic Coverage

bei einer Vermeidungs- oder Entdeckungsmaßnahme zu erfassen. Dieser Attributwert wird dann hin zur

Fehlfunktion propagiert, bei der die Maßnahme verankert ist und geht dann wieder ganz normal in die

Berechnung der Kenngrößen zur Funktionalen Sicherheit ein.

Kontrollfragen

[] Zusätzliche DC-Werte im Fehlernetz haben nur dann eine Auswirkung auf berechnete Werte, wenn diese über

dem bisherigen DC-Max liegen.

Anlage: Mögliche Agenda für einen Vortrag

Thema: Funktionale Sicherheit - Unterstützungsmöglichkeiten durch die APIS IQ-Software

- Systemmodellierung: Strukturbaum, Funktions- und Fehlernetz

- Fehlerbaum und Minimalschnitte

- Objektattribute zur Funktionalen Sicherheit

- Diagnostic Coverage


- Berechnungen im Fehlernetz

- Das FMEDA-Formblatt

- Funktionsnetzverfahren

- CARM-NG-Server und Standardbauteilkataloge

Roadmap APIS IQ-Software und Funktionale Sicherheit

Konkrete Planungen zur Weiterentwicklung der Funktionalitäten im Bereich Funktionaler Sicherheit betreffen:

Mehrkanaligkeit Das Abbilden von Systemen mit Hardwareredundanz soll verbessert werden.

DC Die Berechnung der SPFM und der LFM ist derzeit durch Fehlernetze mit der

jeweils zugehörigen Diagnostic Coverage möglich. Es wird mit Anwendern

diskutiert, ob die Möglichkeit besteht bei Fehlfunktionen zwei unterschiedliche DC-

Werte zu dokumentieren und damit die Berechnung zu vereinfachen

FMEDA-Layout Die tabellarischen Darstellungen zur funktionalen Sicherheit sollen vereinheitlicht

werden. Hierbei wird diskutiert, wie das FMEDA-Formblatt und die Fehlertabelle

zusammengeführt werden kann.

Variantenspezifisch Für Anwender, die auch bei der Funktionalen Sicherheit mit Varianten arbeiten,

sollen die benötigten Attributwerte variantenspezifisch definiert werden.

Berechnungsstrategien Die Unterstützung durch Berechnungsstrategien soll ergänzt werden um die

Aktualität im Projekt auch bei einer nachträglichen Änderung der

Berechnungsstrategie zu gewährleisten.

Best Practice

Anhand von Beispielen sollen die Möglichkeiten der APIS IQ-Software verdeutlicht werden. Möchten Sie über

eigene Lösungsansätze berichten, dann senden Sie bitte eine E-Mail an Jürgen Eilers ([email protected]).

Validierungsreport mit Unterstützung der Minimalschnitte

Die im Rahmen eines Validierungsreports zu betrachtenden Basisfehler mit Ihren Auswirkungen auf Top-Fehler

können aus der Darstellung der Minimalschnitte sortiert nach der Ordnung exportiert werden. Diese exportierten

Daten können bis zur notwendigen Ordnung detaillierter betrachtet werden.

Es wird zunächst ein möglichst vollständiges Fehlernetz erstellt. Anschließend wird zum Fehlerbaum gewechselt.

Dort können Operatoren geändert und eingefügt werden. Das Erfassen von neuen Fehlfunktionen ist ebenfalls

möglich. Es werden keine quantitativen Kenngrößen zur Berechnung im Fehlerbaum erfasst, da das Ziel des

Exports von Minimalschnitten auch ohne diese Daten möglich ist.

Bauteile mit Fehlfunktionen

Soll eine Stückliste in einen Strukturbaum überführt werden und sollen diese Bauteile dann Standardfunktionen

und -fehlfunktionen erhalten, dann bietet sich folgender Weg an:

Zunächst wird die Stückliste in den Strukturbaum übernommen, z.B. wird eine Listendarstellung in Word, Excel,

ö.ä. markiert und dann mittels des Befehls „Kopieren“ (alternativ STRG+C) in die Zwischenablage übernommen.

In der IQ-Software können die Bauteile nun mit „Bearbeiten | Textinhalte einfügen“ übernommen werden.

Anschließend erhält jedes Bauelement aus einem Katalog als Funktion die Art des Bauelements und die

dazugehörenden Fehlfunktionen. Als Katalogdatei kann jede normale FME-Datei dienen, die im zweiten

Arbeitsbereich geöffnet wird und als Kopiervorlage dient.

Documents

apis iq funktionale sicherheit 20100909 · Funktionale Sicherheit; Stand: 2010-09-09 (ENTWURF) 2 / 19 © APIS Informationstechnologien GmbH Inhalt Vorwort 3 Abkürzungen 3 Aufgabenstellung