Embed Size (px)
Citation preview
Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V., München
Vorstand
Prof. Dr.-Ing. habil. Prof. E.h. Dr.-Ing. E.h. mult. Dr. h.c. Reimund Neugebauer, Präsident
Prof. (Univ. Stellenbosch) Dr. rer. pol. Alfred Gossner
Dr. rer. publ. ass. iur. Alexander Kurz
Bankverbindung Deutsche Bank, München
Konto 752193300 BLZ 700 700 10
IBAN DE86 7007 0010 0752 1933 00
BIC (SWIFT-Code) DEUTDEMM
USt-IdNr. DE129515865
Steuernummer 143/215/20392
Validierung der Berechnung der Kennwerte zur Funktionalen Sicherheit nach ISO 26262:2011 durch die Software IQ-RM-PRO Version 6.5 - 0080 der APIS Informationstechnologien GmbH
Sehr geehrter Herr Dietz, die von Ihnen übersandte Beispieldatei habe ich auf Übereinstimmung der Berechnung der Kennwerte zur Funktionalen Sicherheit durch die IQ-RM-PRO 6.5 – 0080 der APIS Informationstechnologien GmbH gemäß den Vorgaben der ISO 26262:2011 geprüft. Ich kann Ihnen hiermit bestätigen, dass die Software IQ-RM-PRO 6.5 – 0080 die Kennwerte zur Funktionalen Sicherheit gemäß ISO 26262:2011 in der von Ihnen übersandten Beispieldatei korrekt berechnet. Detaillierte Erläuterungen zur Validierung der Berechnung finden Sie auf den nachfolgenden Seiten. Mit freundlichen Grüßen
Dr.-Ing. Alexander Schloske Senior Expert Quality Management Functional Safety Engineer ISO 26262 (TÜV-Rheinland)
Fraunhofer IPA | Nobelstraße 12 | 70569 Stuttgart
Herrn Andreas Dietz APIS Informationstechnologien GmbH Gewerbepark A 13 D-93086 Wörth a.d. Donau
Stuttgart, 26. Mai 2015
Fraunhofer-Institut für Produktionstechnik
und Automatisierung IPA
Institutsleiter
Prof. Dr.-Ing. Thomas Bauernhansl
Nobelstraße 12
D-70569 Stuttgart
Dr.-Ing. Alexander Schloske
Senior Expert Quality Management
Functional Safety Engineer ISO 26262
Leiter Stuttgarter Produktionsakademie
Telefon + 49 (0)711 / 970-1890 | Fax -1854
www.ipa.fraunhofer.de
Stuttgart, 26. Mai 2015
2 | 12
1 Beispielsystem
Nachfolgend werden die Struktur und die Kennwerte des Beispielsystems beschrieben.
1.1 Systemstruktur
Das Beispielsystem weist folgende Systemstruktur und Systemelemente auf.
Abbildung 1: Systemstruktur.
1.2 Basisfehler
Die an der Sicherheitsfunktion beteiligten Komponenten besitzen nachfolgende Basisfehler (Fehlermodi) und Ausfallraten in FIT (FIT = Failure In Time, also Ausfälle pro 109 h).
Tabelle 1: Fehlermodi und FIT-Werte der an der Sicherheitsfunktion beteiligten Komponenten.
1.3 Diagnostic Coverage (DC)
Die vorhandenen Sicherheitsmechanismen weisen folgende Diagnostic Coverages (DC) auf.
Tabelle 2: Diagnostic Coverage (DC) für Single Point Faults (SPF) und Latent Point Faults (LPF).
Basisfehler FITFehlermodus 1.1 1,00Fehlermodus 1.2 1,00Fehlermodus 2.1 1,50Fehlermodus 2.2 1,50Fehlermodus 3.1 5,00Fehlermodus 3.2 5,00Fehlermodus 4.1 1,00
DC (SPF) DC (LF)90,0% 60,0%
1.4
1.5
Funktio
Der funktSicherheit
Abbildung
Fehlern
Die Abweergeben sSicherheitdass die Kmit dem FSicherheitPotenzial,
Abbildung
onsnetz fü
ionale Zusamtsmechanisme
g 2: Funktion
netz Single
eichungen desich aus dem tsziels vorhanKomponente Fehlermodus tsziels existier das Sicherhe
g 3: Fehlernet
r das Sich
mmenhang zwen ergibt sich
snetz des Bei
e Point Fau
r KomponentFehlernetz (A
ndenen Sicher1 mit dem Fe2.1 das Pote
rt die softwareitsziel ohne S
tz für Single P
erheitszie
wischen den Eh aus dem Fu
ispielsystems
ult (SPF)
ten, die direkAbbildung 3).rheitsmechanehlermodus 1nzial zur Verremäßige FehSicherheitsm
Point Fault (S
el mit Fehl
Eigenschaftenunktionsnetz (
s mit Fehlerm
kt zur Verletz. Des Weiterenismen abgeb1.1 und dem letzung des S
hlererkennungechanismus z
SPF) mit Siche
Stuttg
ermodi un
n der Kompo(siehe Abbild
odi und FIT-W
ung des Sicheen sind darin bildet. Aus deFehlermodus
Sicherheitszieg (SPF). Die Kzu verletzen.
erheitsmechan
gart, 26. Mai
3
nd FIT-We
onenten und dung 2).
Werten.
erheitsziels füdie zur Absic
em Fehlernets 1.2 sowie dels haben. ZurKomponente
nismus (SPF).
2015
| 12
rten
den
ühren könnencherung des z ist ersichtlicie Komponenr Absicherung4 hingegen h
n,
ch, nte 2 g des hat das
1.6
1.7
Fehlern
Die AbweAbweichudargestellmechanismodus 1.2zur indiresoftwarem
Abbildung
Funktio
Das Funktist, dass dSicherheitEbenso isthang mit haben, übabgesiche
Abbildung
netz Latent
eichungen deungen - zur Vt. Des Weitermen abgebild2 sowie die Kkten Verletzumäßige Fehler
g 4: Fehlernet
onsnetz re
tionsnetz zur die Abweichutsmechanismt aus Abbilduweiteren una
ber den Sicheert sind.
g 5: Funktion
t Point Fau
r KomponentVerletzung deren sind darindet. Aus demKomponente ung des Sichererkennung (
tz für Latent
duzierte S
reduzierten Sngen, die dirus mit der Fe
ung 1.7 ersichabhängigen Aerheitsmechan
snetz für red
ult (LPF)
ten, die indires Sicherheitszn die zur Abs
m Fehlernetz i2 mit dem Fe
erheitsziels ha(LPF).
Point Fault (L
Systemver
Systemverfügrekt das Potenehlererkennunhtlich, dass dAbweichungenismus mit d
uzierte Syste
ekt - also nurziels führen kicherung desst ersichtlich,ehlermodus 2aben. Zur Abs
LPF) mit Siche
rfügbarkei
gbarkeit ist innzial zur Verlng (SPF) und ie Abweichunen - das Poteer Fehlererke
emverfügbark
Stuttg
r zusammen können sind is Sicherheitsz dass die Kom
2.1 und dem sicherung des
erheitsmechan
it
n Abbildung 1etzung des Sder Fehlerreangen, die indnzial zur Verl
ennung (LPF)
keit.
gart, 26. Mai
4
mit anderen im Fehlernetziels vorhandemponente 1 Fehlermoduss Sicherheitsz
nismus (LPF)
1.7 dargestelSicherheitszieaktion (SPF) adirekt – also nletzung des Sund der Fehl
2015
| 12
unabhängigez (Abbildung enen Sicherhemit dem Fehls 2.2 das Poteziels existiert
lt. Darin ersicls haben, übebgesichert si
nur in ZusammSicherheitszieerreaktion (LP
en 4) eits-ler-enzial die
chtlich er den nd. men-ls PF)
1.8
2
2.1
Fehlern
Das Fehledie Abwedes Sicherund FehleWeiteren ersichtlichmechanisCoverage
Abbildung
Berechgemäß
Berechn
Die Single
Formel 1:
netz reduz
rnetz zur redichungen Fehrheitsziels füherreaktion (SPsind darin au
h, die indirektmus Fehlerer(LPF) abgesic
g 6: Fehlernet
hnung deß ISO 262
nung der S
e Point Fault M
Berechnung
ierte Syste
uzierten Systhlermodus 1.hren können PF) mit der enuch die Abwet zur Verletzurkennung (LPFchert sind.
tz für reduzie
er Kennw262:2011
Single Poi
Metric (SPFM)
der Single Po
emverfüg
temverfügbar1, Fehlermodund die über
ntsprechendeeichungen Feung des SicheF) und Fehler
erte Systemve
werte zur
nt Fault M
M) berechnet s
oint Fault Met
barkeit
rkeit ist in Abdus 1.2 und Fr den Sicherhn Diagnostic hlermodus 1.
erheitsziels fürreaktion (LPF
erfügbarkeit.
r Funktio
Metric (SPF
sich nach der
tric (SPFM) ge
Stuttg
bildung 6 daFehlermodus eitsmechanisCoverage (SP.2, Fehlermodhren können
F) mit der ents
onalen Si
FM)
Formel ISO 2
emäß ISO 262
gart, 26. Mai
5
argestellt. Dar1.3, die direk
smus FehlererPF) abgesichedus 2.1 und F und über desprechenden
icherheit
26262:2011-
262:2011-5 C.
2015
| 12
rin ersichtlichkt zur Verletzrkennung (SPert sind. Des Fehlermodus en Sicherheits Diagnostic
t
-5 C.5:
5
sind zung PF)
2.2 s-
Stuttgart, 26. Mai 2015
6 | 12
In die Formel 1 gehen die nachfolgenden Werte ein:
Single Point Faults (SPF) SPF: Single Point Faults (SPF) sind die Abweichungen von Komponenten, die durch keinen Sicherheits-mechanismus abgesichert sind und deren Abweichungen direkt zur Verletzung des Sicherheitszieles führen. Die entsprechenden Abweichungen gehen komplett in die Berechnung der Single Point Fault Metric (SPFM) ein. Aus dem Fehlernetz in Abbildung 3 ist ersichtlich, dass die Komponente 4 mit dem Fehlermodus 4.1 einen Single Point Fault (SPF) darstellt und damit mit dem kompletten FIT-Wert in die Berechnung der Single Point Fault Metric (SPFM) eingeht. Somit ergibt sich für die Fehleranteile für die Single Point Faults (SPF):
∑SPF = ,
Residual Faults (RF) RF: Residual Faults (RF) sind die Teile einer Abweichungen von Komponenten, die nicht durch einen Sicher-heitsmechanismus abgesichert werden können. Sie hängen ab von den Anteilen der Abweichung sowie der Diagnostic Coverage (SPF) des Sicherheitsmechanismus. Der zur berücksichtigende Anteil der Abweichungen für den Residual Fault i berechnet sich zu:
RFi = (1 - DCi) * i Aus dem Fehlernetz in Abbildung 3 ist ersichtlich, dass die Komponente 1 mit dem Fehlermodus 1.1 und dem Fehlermodus 1.2 sowie die Komponente 2 mit dem Fehlermodus 2.1 durch den Sicherheitsmecha-nismus Fehlererkennung (SPF) abgesichert sind. Die Diagnostic Coverage (DC) der Fehlererkennung (SPF) beträgt DC (SPF) = 90%. Damit schlagen 10% der zugehörigen FIT-Werte als Residual Faults (RF) bei der Berechnung der Single Point Fault Metric (SPFM) zu Buche. Somit ergeben sich die Anteile der Abweichungen für die Residual Faults (RF):
∑RF = 1 0,9 ∗ 1,0 1,0 1,5 ,
Probabilistic Metric of random Hardware Faults der Single Point Faults, PMHF (SPF): Die Anteile der Abweichungen von Komponenten, die direkt das Potenzial zur Verletzung des Sicherheitsziels aufweisen werden als PMHF (SPF) bezeichnet. Die Berechnung des PMHF (SPF) ergibt sich zu:
PMHF (SPF) = ∑SPF + ∑RF
PMHF (SPF) = 1,0 0,35 ,
Safety Re
Die gesamdem Funk
∑SR,HF =
Setzt man(SPFM) ein
1
1
Die berecHardware
AbbildungProbabilis
BewertuDie IQ-RMrandom H
elated Hardw
mten Anteile dktionsnetz in
1,0 1,0
n die Werte n, so erhält m
1 1,0
1 1,3516,0
hnete Single e Faults PMHF
g 7: Ergebnissstic Metric of
ng: M-PRO 6.5 – 0Hardware Fau
ware Faults
der AbweichAbbildung 2
0 1,5
SPF, RF und man folgende
1,0 11,0 1
0,9156
Point Fault MF (SPF) wird a
se der IQ-RM- random Hard
0080 berechnults PMHF (SP
s SR,HW:
ungen der Saund aus Tab
1,5
SR,HF in die Foes Ergebnis fü
0,9 ∗ 1,01,5 1,5
, %
Metric (SPFM)auch durch di
-PRO 6.5 – 00dware Faults
net die SinglePF) auf Basis d
afety Related elle 1.
5,0
ormel 1 zur Bür die Single P
0 1,0 5,0
sowie die bee IQ-RM-PRO
080 zu Single PMHF (SPF).
e Point Fault Mder Kennwert
Stuttg
Hardware Fa
5,0 1,0
Berechnung dPoint Fault M
1,55,0
erechnete ProO 6.5 – 0080
Point Fault M
Metric (SPFM)te des Beispie
gart, 26. Mai
7
aults (SR,HW) e
0 ,
der Single PoiMetric (SPFM).
1,0
obabilistic Meausgegeben
Metric (SPFM)
M) und die Proelsystems kor
2015
| 12
ergeben sich
int Fault Metr
etric of rando
sowie der
obabilistic Merekt.
aus
ric
om
etric of
2.2
Berechn
Die Latent
Formel 2:
In die Form
Multiple Multiple Panderen udurch eineAbweichu Zur Erläut
Fault Metgezogen.
Abbildung
nung der L
t Fault Metric
Berechnung
mel 2 gehen
Point FaultsPoint Faults Launabhängigeen Sicherheitungen sowie
terung der zu
tric (LFM) wird
g 8: Beispielb
Latent Fau
c (LFM) berec
der Latent Fa
die nachfolg
s Latent (MPatent (MPFL)n Abweichuntsmechanismuder Diagnost
u berücksichti
d die Berechn
erechnung ge
ult Metric
chnet sich nac
ault Metric (L
enden Werte
PFL) MPF, laten
sind die Antengen zur Verlus abgesichetic Coverage
igenden Ante
nung der ∑M
emäß ISO 262
(LFM)
ch der Forme
FM) gemäß IS
e ein:
nt: eile von Abwetzung des Srt werden kö(LPF) des Sich
eile der Abwe
MPF, latent gemäß
262:2011 – 5
Stuttg
el ISO 26262:
SO 26262:201
weichungen voicherheitsziel
önnen. Sie häherheitsmecha
eichungen be
ß Beispiel ISO
E.2 (Auszug).
gart, 26. Mai
8
2011-5 C.6:
11-5 C.6.
on Komponels führen könngen ab von anismus.
ei der Berechn
O 26262:201
.
2015
| 12
enten, die mitnnen und die
den Anteilen
nung der Late
1 – 5 E.2 hera
t nicht
n der
ent
an-
Abbildung(Quelle: Fr
Anhand dErmittlungnismus abunabhäng Der durch
MPFi = DC Anhand d KomponeFehlermodDer zu bebei der Be
MPF1.2 = 0 KomponeFehlermodDer zu bebei der Be
MPF2.1 = 0
KomponeFehlermodDer FehlerAbweichuder Abwe
g 9: Schema zraunhofer IPA
der Beispielbeg der Multiplebgesicherten gigen Abweic
h einen Sicher
Ci * i
des Fehlernetz
ente 1: dus 1.2 = 1,0rücksichtigen
erechnung de
0,9 * 1,0 FIT =
ente 2: dus 2.1 = 1,5rücksichtigen
erechnung de
0,9 * 1,5 FIT =
ente 2: dus 2.2 = 1,5rmodus 2.2 wung in die Bereichung der K
zur ErläuterunA, 2015, in An
erechnung aue Point Fault Anteile der Achungen aufw
rheitsmechan
zes aus Abbil
0 FIT mit Diagnde Anteil deer Latent Faul
= 0,9 FIT.
5 FIT mit Diagnde Anteil deer Latent Faul
= 1,35 FIT.
5 FIT wirkt sich nurrechnung der
Komponente 2
ng der Ermittnlehnung an
us der ISO 262Latent (MPFL
Abweichungeweisen.
nismus abges
ldung 4 erge
gnostic Coverer Abweichunlt Metric (LFM
gnostic Coverer Abweichunlt Metric (LFM
r als Mehrfacr Latent Fault2 mit dem Fe
tlung der Mu Beispiel ISO 2
262:2011 sowL) ist ersichtlicen noch das P
icherte Antei
ben sich folg
rage (SPF) zu ng der KompoM) ergibt sich
rage (SPF) zu ng der KompoM) ergibt sich
hfehler aus. At Metric (LFMehlermodus 2
Stuttg
ltiple Point Fa26262:2011 –
wie dem Schech, dass die dPotenzial zur V
l der Abweic
ende Anteile
Fehlermodusonente 1 mit somit zu:
Fehlermodusonente 2 mit somit zu:
Aus diesem GM) ein. Der zu 2.2 ergibt sich
gart, 26. Mai
9
ault Latent 5 E.2).
ema zur Erlädurch den SicVerletzung m
chungen ergib
von Abweic
s 1.2 = 90% dem Fehlerm
s 2.1 = 90% dem Fehlerm
Grund geht dberücksichtig
h somit zu 1,
2015
| 12
uterung der dcherheitsmechmit weiteren
bt sich zu:
hungen.
modus 1.2
modus 2.1
die gesamte gende Anteil 5 FIT.
der ha-
Zusamme
der Abwe
∑MPF, laten
Setzt man(LFM) ein,
1
1
ProbabiliDie Anteildes Sicher
PMHF (LF)
PMHF (LF) Die berecFaults PM
AbbildungMetric of
BewertuDie IQ-RMrandom H
n mit der Dia
eichungen M
t = 0,4 ∗ 0,9
n die Werte , so erhält ma
0,4 ∗ 1,35
16,0
1,514,65
istic Metric ole der Abweicrheitsziels auf
) = ∑MPF, laten
) = ,
hnete Latent MHF (LF) wird a
g 10: Ergebni random Hard
ng: M-PRO 6.5 – 0Hardware Fau
agnostic Cove
PF, latent für die
1,35
MPF, latent, SPF
an folgendes
5 1,51,0
0,8976
of random Hchungen, diefweist werde
t
Fault Metric auch durch d
sse der IQ-RMdware Faults
0080 berechnults PMHF (LF)
erage (LPF) de
e zugehörigen
1,5
, RF und SR,
Ergebnis für
0,90,35
, %
Hardware Fae indirekt mit en als PMHF (
(LFM) sowie die IQ-RM-PRO
M-PRO 6.5 – 0 PMHF (LF).
net die Laten) auf Basis de
es Sicherheits
n Komponent
,
,HF in die Formdie Latent Fa
aults der Latanderen Abw
(LF) bezeichne
die berechneO 6.5 – 0080
0080 zu Laten
t Fault Metricer Kennwerte
Stuttg
smechanismu
ten.
mel 2 zur Bereault Metric (LF
tent Faults, weichungen det.
ete Probabilis0 ausgegeben
t Fault Metric
c (LFM) und ddes Beispiels
gart, 26. Mai
10
us ergeben sic
echnung der FM).
PMHF (LF): das Potenzial
stic Metric of n.
c (LFM) sowie
die Probabilissystems korre
2015
0 | 12
ch die Anteile
Latent Fault
zur Verletzu
random Hard
e der Probabi
tic Metric of ekt.
e
Metric
ung
dware
ilistic
2.3
Berechn
Die Berec PMHF = P PMHF = 1 Diese beiddurch die
AbbildungPMHF (SPF
BewertuDie IQ-RMund PMHF
nung der P
hnung der Pr
PMHF (SPF) +
1,35 + 1,5
den ProbabilisIQ-RM-PRO
g 11: ErgebniF) und PMHF
ng: M-PRO 6.5 – 0F (LF) auf Bas
Probabilist
robabilistic M
PMHF (LF)
5 = ,
stic Metric of6.5 – 0080 a
sse der IQ-RM (LF).
0080 stellt diesis der Kennw
tic Metric
Metric of rand
f random Harusgegeben:
M-PRO 6.5 – 0
e beiden Probwerte des Beis
of random
dom Hardware
rdware Faults
0080 zu Proba
babilistic Metspielsystems
Stuttg
m Hardwa
e Faults (PMH
s PMHF (SPF)
abilistic Metri
tric of randomkorrekt dar.
gart, 26. Mai
11
are Faults
HF) ergibt sich
und PMHF (L
ic of random
m Hardware
2015
| 12
(PMHF)
h zu:
LF) werden au
Hardware Fa
Faults PMHF
uch
aults
(SPF)
2.4
Persönl
GestattenSoftware und AnalyISO 26262 Graph-Ed
Abbildung
Fehlertab
Abbildung
iche Anme
n Sie mir abscIQ-RM-PRO 6yse aller Fehle2:20111 im G
ditor:
g 12: Graph-E
belle:
g 13: Fehlerta
erkung
chließend noc6.5 – 0080 emerzusammenhGraph-Editor
Editor.
abelle.
ch eine persömpfinde ich dhänge und Ksowie auch d
nliche Anmedie Möglichke
Kennwerte zuderen übersic
Stuttg
rkung. Als beeiten zur gesar Funktionale
chtliche Darst
gart, 26. Mai
12
esondere Higsamtheitlichenen Sicherheit tellung in der
2015
2 | 12
hlights der n Darstellunggemäß der
r Fehlertabelle
g
e.
