Vorgehensweise zum Nachweis der quantitativen Ziele aus ......1998/2000 First publication of IEC 61508 Motivation: creation of a generic safety standard for other sector safety standards

Vorgehensweise zum Nachweis der quantitativen Zieleaus Teil 5 der ISO 26262

Peter LascychISO 26262

Automotive

ISO 26262Auswirkungen der neuen Norm auf sicherheitsrelevante elektrische/elektronische Systeme in Kraftfahrzeugen

ASQF – 24.02.2011, Nürnberg


Peter LascychISO 26262ISO 26262

Auswirkungen der neuen Norm auf sicherheitsrelevante elektrische/elektronische Systeme in Kraftfahrzeugen

24.02.2011, Nürnberg

Our Divisions Shape the Megatrends in the Automotive Industry

EnvironmentSafety

Conservation of natural resources. Sustained mobility.

Powertrain

Interior

Tires

ContiTech

Increase in safety systems in the vehicle.Safe mobility.

Chassis & Safety

Interior

Tires

ContiTech

2 © Continental AG

Affordable Cars

Growing demand for individual mobility in future markets.

Chassis & Safety Powertrain Interior Tires ContiTech

ContiTechContiTech

Our Divisions Shape the Megatrends in the Automotive Industry

Environment Information

Sophisticated information management in the vehicle. Intelligent mobility.

Interior

Conservation of natural

Sustained mobility.

Affordable Cars

Growing demand for individual mobility in future markets.

Powertrain Interior Tires ContiTech

Strong Divisions and Business Units

Continental Corporation

Automotive Group

Chassis & Safety

ElectronicBrake Systems

HydraulicBrake Systems

Sensorics

Passive Safety& ADAS

Chassis

Powertrain

Engine Systems

Transmission

Hybrid Electric Vehicle

Sensors & Actuators

Fuel Supply

Interior

Instrumentation & Driver HMI

Infotainment & Connectivity

Body & Security

Commercial Vehicles & Aftermarket

3 © Continental AG

ChassisComponents

Aftermarket

Strong Divisions and Business Units

Continental Corporation

Rubber Group

ContiTech

Air Spring Systems

Benecke-Kaliko Group

Conveyor Belt Group

Elastomer Coatings

Passenger and Light Truck Tires

OriginalEquipment

ReplacementBusinessEurope & Africa

ReplacementBusinessThe Americas

Commercial Vehicle Tires

Truck Tires Europe

Truck TiresThe Americas

Truck Tires Replacement Business Asia

Industrial Tires Coatings

Fluid Technology

Power Trans-mission Group

Vibration Control

Other Operations

The Americas

ReplacementBusinessAsia

Two-Wheel Tires

Industrial Tires


1. Motivation

2. Erläuterung der Anforderungen der Norm2. Erläuterung der Anforderungen der Norm

3. Theoretische Methoden zum Nachweis

4. Praktische Tools zum Nachweis

5. Fazit und Empfehlungen aus der Praxis zur Vorgehensweise

Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle

4 / Lascych, / 2010 © Continental AG

Vorgehensweise zum Nachweis der quantitativen Ziele

Erläuterung der Anforderungen der NormErläuterung der Anforderungen der Norm

Theoretische Methoden zum Nachweis

Fazit und Empfehlungen aus der Praxis zur Vorgehensweise


1. Motivation











Standards for Functional SafetyOverview

Derivates of Generic Standards

DO-178Aerospace

ISO 26262Automotive

(Examples)

IEC 61513

IEC 61508Generic

EN 50129Train


6 / Lascych / 2009 © Continental AG

IEC 60601Medicine

IEC 61513Nuclear Plants

ISO 26262Automotive

IEC 50156Firing

2011 valid !

Firing

IEC 62061Machines

IEC 61511

IEC 61508Generic

IEC 61511Process Industry

IEC 60601Medicine

From IEC 61508 to ISO 26262

1984 Start of activities for first safety standards

1990 DIN V VDE 0801 (VDE 0801)"Grundsätze für Rechner in Systemen

1994 DIN V 19250"Leittechnik - Grundlegende Sicherheitsbetrachtungen"Leittechnik - Grundlegende Sicherheitsbetrachtungen

1998/2000 First publication of IEC 61508Motivation: creation of a generic safety standard for other sector safety standards

2001 CENELEC (european standardisation organisation) ratification EN 61508

2002 Adoption as german standard DIN EN 61508

8/2004 All other standards being in conflict with IEC 61508 are withdrawn

2008 IEC 61508 update (e.g. ASICs)

2005 ISO WD 26262 (Working Draft)


7 / Lascych / 2009 © Continental AG

2005 ISO WD 26262 (Working Draft)

2008 ISO CD 26262 (Committee Draft)

2009 ISO DIS 26262 (Draft International Standard)

Q2 2010 Rework of ISO DIS 26262 and integrate given comments

Q3 2010 Vote for FDIS

Q3 2011 Publication of ISO 26262 as International Standard

Start of activities for first safety standards

Systemen mit Sicherheitsaufgaben"

Sicherheitsbetrachtungen für MSR-Schutzeinrichtungen" Sicherheitsbetrachtungen für MSR-Schutzeinrichtungen"

Motivation: creation of a generic safety standard for other sector safety standards

standardisation organisation) ratification EN 61508

standard DIN EN 61508

All other standards being in conflict with IEC 61508 are withdrawn

TODAY

ISO DIS 26262 (Draft International Standard) – Public available

Rework of ISO DIS 26262 and integrate given comments

Publication of ISO 26262 as International Standard

MotivationWas war – was wird

Wie hat die automotive Branche bisher entwickelt

Änderungsbasiert und an

Funktionen und Parametern orientiert

Das heißt: Es wurden für ein Produkt nicht allesondern nur die Änderungen zum vorher entwickeltenauf Sollverhalten

Welche Forderung ergibt sich aus der zunehmendenVernetzung von Systemen im Automobil ?

Vollständiger Anforderungskatalog für Systeme


Verständnis für Architektur und Schnittstellen

Definition von Funktionen und Einbezug möglicher

Die Fehlfunktionen und deren Auswirkung imfunktionaler Sicherheit eine zentrale Bedeutung


entwickelt ?

alle Anforderungen definiertentwickelten Produkt mit Fokus

zunehmenden Komplexität und

Systeme und Komponenten

Schnittstellen

möglicher Fehlfunktionen

im Fahrzeug haben aus SichtBedeutung

Motivation

Bei allen Neuentwicklungen muss die ISO 26262 angewendet werdenbei Weiterentwicklungen an bestehenden Systemen und Komponenten auch, jedoch sind dort Delta-Analysen oder „proven in use“ Argumentationen möglich.

EV und HEV Fahrzeuge sind komplette Neuentwicklungen,EV und HEV Fahrzeuge sind komplette Neuentwicklungen,daher greifen hier die Anforderungen der ISO 26262 in vollem Umfang.

Zentraler Startpunkt ist die Gefahren-Analyse auf Fahrzeugebene,in Verantwortung des OEM. Ausgehend von der ASIL Einstufung werden die Anforderungen herunter gebrochen auf die Tier 1 und 2 Subsysteme im Lastenheft definiert.

Je höher der ASIL desto höher sind letztlich Aufwand und somit die Kosten.

Gute Gefahren-Analyse + sinnvolle ASIL Festlegungen zu Beginn der Entwicklung:


Entwicklung:

a)Balance zwischen Aufwand und erforderlichem Maß der Risikoreduzierung “State of the Art”

b)ABER: Durchgängige Architektur und Architekturverständnis für Gesamtfahrzeug ist Voraussetzung ! (�� Architekturbewertung: ISO 26262 Teil 5)

9 / Lascych, 2011 © Continental AG

Bei allen Neuentwicklungen muss die ISO 26262 angewendet werden,bei Weiterentwicklungen an bestehenden Systemen und Komponenten auch, jedoch sind dort

“ Argumentationen möglich.

EV und HEV Fahrzeuge sind komplette Neuentwicklungen,EV und HEV Fahrzeuge sind komplette Neuentwicklungen,daher greifen hier die Anforderungen der ISO 26262 in vollem Umfang.

Analyse auf Fahrzeugebene,in Verantwortung des OEM. Ausgehend von der ASIL Einstufung werden die Anforderungen herunter gebrochen auf die Tier 1 und 2 Subsysteme im Lastenheft definiert.

Je höher der ASIL desto höher sind letztlich Aufwand und somit die Kosten.

Analyse + sinnvolle ASIL Festlegungen zu Beginn der

Balance zwischen Aufwand und erforderlichem Maß der Risikoreduzierung “State

ABER: Durchgängige Architektur und Architekturverständnis für Gesamtfahrzeug Architekturbewertung: ISO 26262 Teil 5)

ISO 26262 „safety lifecycle“

Hazard analysisand risk assessment3.6 Hazard analysisand risk assessment3.6

Item definition3.4

Initiation of safety lifecycle3.5

Item definition3.4 Item definition3.4

Initiation of safety lifecycle3.5

and risk assessmentand risk assessment

Functional safetyconcept3.7 Functional safetyconcept3.7

Productionplanning7.4 Productionplanning7.4Operation

planning7.5 Operationplanning7.5

4 Product development:system level

HWlevel

5 HWlevel

5 66

Product release4.10


Operation, service and

decommissioning7.5

Production7.4 Production7.4

Product release4.10

ISO 26262 Teil 2 Kapitel 4.2.1 Figure 4.1


Hazard analysisand risk assessment

Hazard analysisand risk assessment

Co

nce

pt

ph

ase

Item definition

Initiation of safety lifecycle

Item definitionItem definition

Initiation of safety lifecycle

and risk assessmentand risk assessment

Functional safetyconcept

Functional safetyconcept

Product development:system level

SWlevel

6 SWlevel

6

Product release

Driver

controllability

Other

technologies

External

measures

Co

nce

pt

ph

ase

Pro

du

ct d

evel

op

men

t

Operation, service and

decommissioning

ProductionProduction

Product release

Back to appropriate lifecycle phase

Aft

er S

OP

Die ASIL Bestimmung über die Risikograph

ASIL = Automotive Safety Integrity Level

Severity (S) Exposure (E)C0

Controllable in general

S0

No injuries--

E0 - Unusual or incredible

low

er

better

S1

Light and moderate injuries


E1 - Very low probability

E2 - Low probability

E3 - Medium probability

E4 - High probability

S2

Severe injuries, possibly life-threatening, survival probable




E3 - Medium probability

E4 - High probability QM



S3

Life-threatening injuries (survival uncertain) or fatal

injuries




E3 - Medium probability QM



Risikograph-MethodeControllability (C)

C1

Simply controllable

C2

Normally controllable

C3

Difficult to control or uncontrollable

QM

QM

better

Acc. to ISO 26262-3, annex B and table 4

QM

QM

QM

QM ASIL A

QM ASIL A ASIL B

QM

QM

QM ASIL A

QM ASIL A ASIL B

ASIL A ASIL B ASIL CASIL A ASIL B ASIL C

QM

QM ASIL A

QM ASIL A ASIL B

ASIL A ASIL B ASIL C

ASIL B ASIL C ASIL D

Je höher der ASIL desto höher sind letztlich Aufwand und somit die Kosten:

Entwicklungsaufwand und Kosten

Safety ConceptASIL A

Customer specification

Hazard Analysis

Safety ConceptASIL A

ASIL B

ASIL C

QM

FSM Process START

FSM Process END

Def

initi

on

of A

SIL

ASIL D


ASIL DConcept


Metrik

Höhere Aufwände

Beispiel:

Je höher der ASIL desto höher sind letztlich Aufwand und somit die Kosten:

Safety ConceptSafety

Requirements

furtherstepsSafety Concept

Requirements

Safety Concept

Safety Requirements

Safety Concept

Safety Requirements

stepse.g.

HW analysisacc.part 5ofISO Safety Safety ISO 26262

Safety Concept

Safety Requirements

Metrik-Berechnung unfangreichere Diagnosen

Aufwände ab ASIL C:

MotivationISO 26262 Teil 5

Sicherheit wird messbar, durch Festlegungen wie Fehlfunktionen und deren Auswirkung analysiert werden müssen, welche Grenzen einzuhalten sind:

Road vehicles – Functional safetyPart 5: Product development: hardware

Dies ist ein Teil der Norm in dem quantitativen Zielvorgaben zum Nachweis der funktionalen Sicherheit in den Anforderungen stehen.

Im Teil 8 Kapitel 14 werden weitere Anforderungen für „


Im Teil 8 Kapitel 14 werden weitere Anforderungen für „use“ genannt, ebenfalls mit quantitativen Zielvorgaben, die strenger sind.

Hinweis: Im Folgenden wird die Baseline 19 der ISO 26262 zur Grundlage genommen !


durch Festlegungen wie Fehlfunktionen und deren Auswirkung analysiert werden müssen, welche Grenzen

hardware level

Dies ist ein Teil der Norm in dem quantitativen Zielvorgaben zum Nachweis der funktionalen Sicherheit in den Anforderungen stehen.

Im Teil 8 Kapitel 14 werden weitere Anforderungen für „Proven in Im Teil 8 Kapitel 14 werden weitere Anforderungen für „Proven in “ genannt, ebenfalls mit quantitativen Zielvorgaben, die tw. noch

19 der ISO 26262 zur Grundlage genommen !

MotivationSystematische Fehler vs. zufällige Hardwarefehler

Systematische Fehler sind solche, die

Ursachen im Entwicklungs- oder Produktionsprozess � z.B. falsche Spezifikation von Software, falscher Entwicklungsprozess etc.UND

mit nicht berechenbarer Wahrscheinlichkeit mit nicht berechenbarer Wahrscheinlichkeit undin allen Produkten gleichermaßen vorhanden sind und u.U. nur bei bestimmten Situationen zutage treten werden.

Zufällige Hardwarefehler sind solche, die

ihre Ursachen in den „anfassbaren“ Bauteilen � z.B. Leitungen, Stecker, Widerstände etc.UND

als nachweisbare Mängel mit einer berechenbaren Wahrscheinlichkeit


als nachweisbare Mängel mit einer berechenbaren Wahrscheinlichkeit Betriebes auftreten, trotz eines guten Designs, einer korrekten Auslegung , eines perfekten Prozess etc.

UND: Software ist bei den Maßnahmen zur Diagnosticeiner Beherrschung der gefährlichen zufälligen Fehler in einem bestimmten Maß zusammen mit der Hardware.


Systematische Fehler vs. zufällige Hardwarefehler

oder Produktionsprozess oder Werkzeugen habenz.B. falsche Spezifikation von Software, falscher Entwicklungsprozess etc.

mit nicht berechenbarer Wahrscheinlichkeit während des Betriebes auftreten können mit nicht berechenbarer Wahrscheinlichkeit während des Betriebes auftreten können

in allen Produkten gleichermaßen vorhanden sind und u.U. nur bei bestimmten Situationen

ihre Ursachen in den „anfassbaren“ Bauteilen haben und darstellenz.B. Leitungen, Stecker, Widerstände etc.

berechenbaren Wahrscheinlichkeit während des berechenbaren Wahrscheinlichkeit während des Betriebes auftreten, trotz eines guten Designs, einer korrekten Auslegung , eines perfekten

Diagnostic Coverage involviert und führt zu einer Beherrschung der gefährlichen zufälligen Fehler in einem bestimmten Maß zusammen

MotivationISO 26262 part 5 clause 5.2 (BL 16)

SPFMSPFMSPFMSPFM

LFMLFMLFMLFM

Welche Ziele sind konkret nachzuweisen ?

“Clause 8 describes two metrics to evaluate the architecture and the implemented safety mechanisms failures.

D.h.: Ist die Sicherheitsarchitektur aureichend

PMHFPMHFPMHFPMHF

D.h.: Ist die Sicherheitsarchitektur aureichend

Fehlern umzugehen ?

Complementary ...

clause 9 describes two alternatives to evaluate whether the violations is sufficiently low,

either by using a global probabilistic approach

by using a cut-set analysis to study the impact of each identified fault of an HW


SPFM: Single Point Faults Metric LFM:PMHF: Probabilistic Metric for random Hardware Failures

by using a cut-set analysis to study the impact of each identified fault of an HW element upon the violation of the safety goals.”

D.h.: Gibt es Abhängigkeiten im System,

wie beeinflussen sie das Sicherheitsziel


ISO 26262 part 5 clause 5.2 (BL 16)

describes two metrics to evaluate the effectiveness of the system and the implemented safety mechanisms to cope with random hardware

aureichend in der Lage mit den zufälligen Hardware-aureichend in der Lage mit den zufälligen Hardware-

describes two alternatives to evaluate whether the residual risk of safety goal

global probabilistic approach or

to study the impact of each identified fault of an HW

Latent Faults Metric

to study the impact of each identified fault of an HW element upon the violation of the safety goals.”

System, wir wirken sie zusammen,

Sicherheitsziel ?


1. Motivation











Erläuterung der Anforderungen der Norm

ISO 26262 part 5 clause 7.4.3.1 (BL 16)

“Safety analysis of hardware architectural and detailed design causes of faults shall be applied in accordance with table 3 and ISO 26262Safety analyses.

NOTE 1: The initial purpose of these analyses is to NOTE 1: The initial purpose of these analyses is to hardware architectural and detailed design. Subsequently, these analyses can be used for verification of the hardware design (see 7.4.4).

NOTE 2: In its aims of supporting the specification of the detailed design, qualitative analysis might be

NOTE 3: The level of detail of the analysis is commensurate with the level of detail of the design. Both methods can, in certain cases, be carried out at different level of detail.”

DAS HEISST

Es geht


Es geht

nicht primär um den Nachweis von Metriken und

um die Optimierung des Designs hinsichtlich

sekundär fallen dabei Ergebnisse an, die der beschriebenen Methode dokumentieren



“Safety analysis of hardware architectural and detailed design to determine effects and shall be applied in accordance with table 3 and ISO 26262-9:—, Clause 8:

of these analyses is to support the specification of the of these analyses is to support the specification of the architectural and detailed design. Subsequently, these analyses can be used for

verification of the hardware design (see 7.4.4).

supporting the specification of the hardware architectural and qualitative analysis might be appropriate and sufficient.

NOTE 3: The level of detail of the analysis is commensurate with the level of detail of the design. Both methods can, in certain cases, be carried out at different level of detail.”

von Metriken und harten Zielen, sondern

hinsichtlich der Erreichung der Sicherheitsziele und

an, die die Ziel-Ereichung und korrekte Anwendungdokumentieren.

ISO 26262 part 5 clause 8.4.3:“The estimated failure rates for hardware parts used in the analyses shall be determined either:

a) Using hardware part failure rates data from a

EXAMPLE: Commonly recognised industry sources to determine the hardware part failure rates and the failure mode distributions include IEC TR 62380, IEC 61709, MIL

Failure Modes and MetricsISO 26262 part 5 clause 8: Effectiveness of the system architecture

failure rates and the failure mode distributions include IEC TR 62380, IEC 61709, MIL HDBK 217 F notice 2, RAC HDBK 217 Plus, UTE C80EN 62061 Annex D, RAC FMD97 and MIL HDBK 338.

NOTE 1: The failure rate values given in these databases are generally considered to be pessimistic.

b) Using statistics based on field returns or testsshould have an adequate confidence level; or

c) Using expert judgement founded on engineering approach based on quantitative and qualitative arguments. Expert judgement shall be exercised in accordance with structured criteria as a basis for this judgement. The according criteria shall be set before the


criteria as a basis for this judgement. The according criteria shall be set before the estimation of failure rates is made.

NOTE 2: These criteria can consider field experience, testing, reliability analysis, and novelty of design.”


The estimated failure rates for hardware parts used in the analyses shall be determined either:

Using hardware part failure rates data from a recognised industry source;

EXAMPLE: Commonly recognised industry sources to determine the hardware part failure rates and the failure mode distributions include IEC TR 62380, IEC 61709, MIL

Effectiveness of the system architecture

failure rates and the failure mode distributions include IEC TR 62380, IEC 61709, MIL HDBK 217 F notice 2, RAC HDBK 217 Plus, UTE C80-811, NPRD95, EN50129 Annex C, EN 62061 Annex D, RAC FMD97 and MIL HDBK 338.

NOTE 1: The failure rate values given in these databases are generally considered to be

statistics based on field returns or tests. In this case, the estimated failure rate should have an adequate confidence level; or

founded on engineering approach based on quantitative and qualitative arguments. Expert judgement shall be exercised in accordance with structured criteria as a basis for this judgement. The according criteria shall be set before the criteria as a basis for this judgement. The according criteria shall be set before the

NOTE 2: These criteria can consider field experience, testing, reliability analysis, and

Failure Modes and MetricsISO 26262 part 5 clause 8: Effectiveness of the system architecture

ASIL LFMSPFM

----A

Table 5 + 6: Possible source forthe derivation of the target value

partial detectionby safety mechanism

no detection�� immediately dangerous

ISO 26262 part 5 clause 8.4.5 / 6:

Latent

ResidualF

λλλλ total

λλλλ MPF+ λλλλ S

SPFM =

≥ 90%≥ 99%D

≥ 80%≥ 97%C

≥ 60%≥ 90%B

----A

no detection�� second fault is

dangerous

by safety mechanism�� some remain

dangerous


λλλλ MPF Perceived+ λλλλ MPF Detected

+ λλλλ S

LFM =λλλλ MPF

+ λλλλ S detection by driver



SinglePF

Effectiveness of the system architecture

λλλλ

λλλλ total

no detectionimmediately dangerous

safe faults

DetectedMPF

Safe

PerceivedMPF

LatentMPF

Residual

λλλλ SPF

λλλλ RF

λλλλ S

λλλλ MPF Latent

MPFMPF

detection by driverdetection bysafety mechanism


SinglePF

Failure Modes and MetricsISO 26262 part 5 clause 9: Residual risk of safety goal violations

λλλλ

λλλλ total

PMHFPMHFPMHFPMHF First method: Evaluate violation of the

ASIL Random hardwarefailure target values

Table 7: Possiblea)

Detected

Safe

PerceivedMPF

LatentMPF

ResidualF

λλλλ SPF

λλλλ RF

λλλλ MPF Latent

λλλλ S

ASIL

< 10

failure target values

D

< 10C

< 10B

A

b) Derived from field data of similar well�� VertrauenZielwerten

c) Derived from quantitative analysis techniques applied on similar


MPFMPF


c) Derived from quantitative analysis techniques applied on similar well-trusted design principles�� VertrauenAuslegung zusammen


Residual risk of safety goal violations

First method: Evaluate violation of the failure safety goal target value

Random hardwarefailure target values

source for the derivation of the target value

Safe

< 10-8 h-1

failure target values

< 10-7 h-1

< 10-7 h-1

--

Derived from field data of similar well-trusted design principlesVertrauen in Auslegung mit ggf. anderen realen

Derived from quantitative analysis techniques applied on similar


Derived from quantitative analysis techniques applied on similar trusted design principles

in Nachweismethode einer anderen realenzusammen mit Zielwerten

SinglePF

Failure Modes and MetricsISO 26262 part 5 clause 9: Residual risk of safety goal violations

λλλλ

λλλλ total

PMHFPMHFPMHFPMHF Second method: Evaluation of faults

ASILSingle Point Faults ≥ 99,9%

A --

B 2 OR 1 5

DetectedMPF

Safe

PerceivedMPF

LatentMPF

ResidualF

λλλλ SPF

λλλλ RF

λλλλ S

λλλλ MPF Latent

Failure rate class

11

22

Note: 1+, 2+ meansspecial characteristic etc. acc. to ISO 26262 part 5

B 2 OR 1 5

C 2+ OR 1 5

D 1+ 4


MPFMPF


22

33

44

55


Residual risk of safety goal violations

faults leading to a violation of the safety goalResidual Faults Latent Multiple Point Faults

Diagnostic Coverage (DC) Diagnostic Coverage (DC) 99,9% ≥ 99% ≥ 90% < 90% ≥ 99% ≥ 90% < 90%

-- -- -- -- -- --

4 3 2 -- -- --

Safe

Failure rate class Failure rate classes target values

< PFH (ASIL D) / 100 < 10-10 / h

< PFH (ASIL D) / 10 < 10-9 / h

means failure rate class 1 or 2 in addition with dedicated measures such as burn-in test, special characteristic etc. acc. to ISO 26262 part 5 ch. 9.4.2.4

4 3 2 -- -- --

4 3 2+ 5 4 3

3 2 1+ 4 3 2


< PFH (ASIL D) / 10 < 10 / h

< PFH (ASIL D) < 10-8 / h

< PFH (ASIL D) x 10 < 10-7 / h

< PFH (ASIL D) x 100 < 10-6 / h

One Pager: Target Values

ASIL

Random hardwarefailure target values

Single Point Faults

Residual FaultsDiagnostic Coverage (DC)

Probability of failure per hour(PFH) ≥ 99,9% ≥ 99% ≥ 90%

A -- -- -- --

Residual Risk for Safety GoalFailure Level - - - - - - - - - - - -

Alternative: Residual Risk for Safety GoalFault Level - - - - - - - - - - - - - - - - - - - - - - - -

B Recommended: < 10-7 / h(100 FIT)

2 OR 1 5 4

C Requirement: < 10-7 / h(100 FIT)

2+ OR 1 5 4

D Requirement: < 10-8 / h(10 FIT)

1+ 4 3

Failure rate class11 < PFH (ASIL D) / 10022 < PFH (ASIL D) / 1033 < PFH (ASIL D)44 < PFH (ASIL D) x 1055 < PFH (ASIL D) x 100

Note: 1+, 2+ means failure rate class 1 or 2 in addition with dedicated measures such as burnspecial characteristic etc. acc. to ISO 26262 part 5


55 < PFH (ASIL D) x 100

SPFM = 1 - =λλλλ SPF

+ λλλλ RF

λλλλ total


λλλλ total

LFM = 1 - =λλλλ MPF Latent


λλλλ MPF Perceived+ λλλλ MPF Detected



Faults Latent Multiple Point Faults SPFM LFMDiagnostic Coverage (DC) Diagnostic Coverage (DC)

≥ 90% < 90% ≥ 99% ≥ 90% < 90%

-- -- -- -- -- -- --

Single Point Fault

Metric

Latent Fault Metric

Effectiveness of the system architecture- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

3 2 -- -- -- ≥ 90% ≥ 60%

3 2+ 5 4 3 ≥ 97% ≥ 80%

2 1+ 4 3 2 ≥ 99% ≥ 90%

Failure rate classes target values< PFH (ASIL D) / 100 < 10-10 / h< PFH (ASIL D) / 10 < 10-9 / h

< PFH (ASIL D) < 10-8 / h< PFH (ASIL D) x 10 < 10-7 / h

< PFH (ASIL D) x 100 < 10-6 / h

failure rate class 1 or 2 in addition with dedicated measures such as burn-in test, special characteristic etc. acc. to ISO 26262 part 5 ch. 9.4.2.4

< PFH (ASIL D) x 100 < 10 / h

MPF Detected+ λλλλ S

λλλλ RF= λλλλ total

x ( 1 - ) DC

RF

100

λλλλ MPF Latent = λλλλ total

x ( 1 - ) DC

MPF Latent

100


1. Motivation












Induktive und deduktive Methoden

Methoden

Deductive safety analysis methods are top

1Deduktive Analysez.B.. FTA, reliability block diagrams, Ishikawa

2 Induktive Analysez.B. FMEA, ETA, Markov modelling

ISO 26262-5 Table 3 — Hardware design safety analysis

Deduktiv


Deductive safety analysis methods are topstart from known effects to seek unknown causes

Inductive safety analysis methods are bottomstart from known causes to forecast unknown effects

top-down

bottom-up

Induktiv



ASIL

A B C D

safety analysis methods are top-down methods that

, Ishikawa diagramo + ++ ++

++ ++ ++ ++

safety analysis methods are top-down methods thatstart from known effects to seek unknown causes.

safety analysis methods are bottom-up methods thatstart from known causes to forecast unknown effects.

Explenation of inductive analysis methods

Failure Mode and Effects Analysis (FMEA)

is a procedure in product development and operations management for analysis of potential failure modes within a system for classification by the severity and likelihood of the failures. A successful FMEA activity helps a team to identify potential failure modes based on past experience with similar products or processes, enabling the team to design those failures out of the system with the minimum of effort and resource expenditure, thereby reducing development time and costs. of effort and resource expenditure, thereby reducing development time and costs.

Event Tree Analysis (ETA)

An event tree is a graphical representation of the logic model that identifies and quantifies the possible outcomes following an initiating event.

Markov modelling

In probability theory, a Markov model is a stochastic model that assumes the Markov property. Generally, this assumption enables reasoning and computation with the model that would otherwise be intractable.

A stochastic process has the Markov property if the conditional probability distribution of future states of the process (conditional on both past and present values) depends only upon the present state; that is,


the process (conditional on both past and present values) depends only upon the present state; that is, given the present, the future does not depend on the past. A process with this property is said to be Markovian or a Markov process.

Source: Wikipedia, ISOGRAPH


of inductive analysis methods

is a procedure in product development and operations management for analysis of potential failure modes within a system for classification by the severity and likelihood of the failures. A successful FMEA activity helps a team to identify potential failure modes based on past experience with similar products or processes, enabling the team to design those failures out of the system with the minimum of effort and resource expenditure, thereby reducing development time and costs. of effort and resource expenditure, thereby reducing development time and costs.

An event tree is a graphical representation of the logic model that identifies and quantifies the possible

In probability theory, a Markov model is a stochastic model that assumes the Markov property. Generally, this assumption enables reasoning and computation with the model that would otherwise be

A stochastic process has the Markov property if the conditional probability distribution of future states of the process (conditional on both past and present values) depends only upon the present state; that is, the process (conditional on both past and present values) depends only upon the present state; that is, given the present, the future does not depend on the past. A process with this property is said to be

Explenation of deductive analysis methods

Fault Tree Analysis (FTA)

is a failure analysis in which an undesired state of a system is analyzed using boolean logic to combine a series of lowerevents. This analysis method is mainly used in the field of safety engineering to quantitatively determine the probability of a safety hazard.safety hazard.

Reliability block diagrams (RBD)

is a diagrammatic method for showing how component reliability contributes to the success or failure of a complex system. RBD is also known as a dependence diagram (DD).

Ishikawa diagram (fishbone diagrams or cause-and-effect diagrams)

are diagrams that show the causes of a certain event. Common uses of the Ishikawa diagram are product design and quality


uses of the Ishikawa diagram are product design and quality defect prevention, to identify potential factors causing an overall effect. Each cause or reason for imperfection is a source of variation. Causes are usually grouped into major categories to identify these sources of variation.

Source: Wikipedia,


Explenation of deductive analysis methods

is a failure analysis in which an undesired state of a system is logic to combine a series of lower-level

events. This analysis method is mainly used in the field of safety determine the probability of a

is a diagrammatic method for showing how component reliability contributes to the success or failure of a complex system. RBD

effect diagrams)

are diagrams that show the causes of a certain event. Common uses of the Ishikawa diagram are product design and quality uses of the Ishikawa diagram are product design and quality defect prevention, to identify potential factors causing an overall effect. Each cause or reason for imperfection is a source of variation. Causes are usually grouped into major categories to

Fünf Schritte zur Erstellung einer FME(D)A

Generell wird eine FME(D)A in 5 Schritten entwickelt:

Systemanalyse

1. Schritt 2. Schritt 3. Schritt

Erfassen und Strukturieren der beteiligten Elemente

Systemstruktur

Funktionen den Strukturele-menten zuordnen

Sicherheitsziele

Fehlfunktion den Funktionen zuordnen

Hazards auf Ebene

1. SchrittStrukturanalyse

2. SchrittFunktionsanalyse

3. SchrittFehleranalyse


Systemstruktur erstellen

Definition der externen und internen Schnittstellen

Sicherheitsziele auf Ebene 1 eintragen

Funktionen verknüpfen

Hazards auf Ebene 1 eintragen

Ausfallraten und Modi der Bauteile eintragen

Fehlfunktion verknüpfen

Quelle: VDA Band 4 “System FMEA” + Ergänzungen


Fünf Schritte zur Erstellung einer FME(D)A

Generell wird eine FME(D)A in 5 Schritten entwickelt:

Schritt 4. Schritt 5. Schritt

Risikoanalyse und Maßnahmen

Risiko mit weiteren Maßnahmen mindern

Bewerten des

Fehlfunktion den Funktionen zuordnen

Hazards auf Ebene

Dokumentation der aktuellen Vermeidungs- und Entdeckungs-maßnahme

SchrittFehleranalyse

4. SchrittMaßnahmenanalyse

5. SchrittOptimierung

Bewerten des geänderten Standes

Hazards auf Ebene 1 eintragen

Ausfallraten und Modi der Bauteile eintragen

Fehlfunktion verknüpfen

maßnahme

DC gemäß implementierter Funktionen eintragen

Bewerten des aktuellen Standes

HW Fehlermöglichkeitenz.B. Birolini

short interruption driftdigital bipolar IC 30 *∆ 30 * --

digital MOS IC 20 ∆ 60 * --

linear IC -- 25 + --

Deviceall values are given in percent

Relative probability of failure modes of electronic devices(informative)

linear IC -- 25 + --bipolar transistor 75 25 --fieldeffect transistor (FET) 80 15 5diodes universal 50 30 20 Zener 20 40 40

thyristor 40 10 --

optoelectronic device 10 50 40fixed resistor ≈ 0 60 40

variabel resistor ≈ 0 30 30capacitor film 50 40 10 ceramic 50 20 30 Tantal (dry) 60 30 10 Alloy (electrolyte) 30 30 40coil 40 40 10


Source: Prof. Dr. Alessandro Birolini, Zuverlässigkeit von Geräten und Systemen

coil 40 40 10

relay 20 -- --

cristal (frequency generator) -- 80 20


drift function error20

20

75 ++

all values are given in percent

Relative probability of failure modes of electronic devices(informative)

* 50% input / 50% output∆ 50% short circuit to Vcc / 50% short to GND

75 ++

--------

50 ◊

----

40 #

--------10

+ no output

++ wrong input

◊ does not open

# wear

† contact

10

80 †

--

Beispiele der “Diagnostic Coverage”

DC depends on architecture and level of independence (ISO 26262 part 5 annex D):

Table D.1 - Analyzed faults or failures modes in the derivation of diagnostic coverage (excerpt)

Analogue I/O and

ElementSee

TablesAnalyzed failure modes for 60/90/99% DC

Low (60 %) Medium (90 %)

Table D.2 – Systems (excerpt)

Digital I/O

D.7Digital I/O Stuck-at fault model

Analogue I/O Stuck-atfault modelDrift and oscillation

Safety mechanism/measureSee overview of

techniquesTypical diagnostic coverage

considered achievable


(Excerpts simplified, for details please refer to standard)

techniques considered achievable

Failure detection by on-line monitoring

D.2.1.1 Low

comparator D.2.1.2 High

Majority voter D.2.1.3 High

Dynamic principles D.2.2.1 Medium


“Diagnostic Coverage”

DC depends on architecture and level of independence (ISO 26262 part 5 annex D):

Analyzed faults or failures modes in the derivation of diagnostic coverage (excerpt)

Analyzed failure modes for 60/90/99% DCMedium (90 %) High (99 %)

modelfault model

Drift and oscillation

modelDrift and oscillation

fault model Drift and oscillation

Typical diagnostic coverage considered achievable Notesconsidered achievable

Depends on diagnostic coverageof failure detection

Depends on the quality of the comparison

Depends on the quality of the voting

MediumDepends on diagnostic coverageof failure detection


1. Motivation











Praktische Tools zum Nachweis

Fehlerbaum-MethodeZ.B. FaultTree+ der Firma ISOGRAPHZ.B. Medini Analyze der Firma IKV

FMEDAZ.B. MS Excel / Microsoft Office

Hierarchische Struktur-Analyse überZ.B. IQ-FMEA der Firma APIS


Z.B. SafetyOffice der Firma EngineersConsulting


Firma ISOGRAPHFirma IKV

über FMEDA

EngineersConsulting GmbH

FTA MethodeFaultTree+



FTA MethodeIKV Medini Analyze



FMEDA MethodeMS Excel



FMEDA-MethodeAPIS IQ-RM 6.0



FMEDA-MethodeSafetyOffice FMEDA



FMEDA-MethodeSafetyOffice FTA/FMEA




1. Motivation












Die ISO 26262 fordert in Teil 5 eine quantitative Wahrscheinlichkeits

Architektur (SPFM, LFM),

Verletzung der Sicherheitsziele (PMHF Top Level

Es ist daher notwendigEs ist daher notwendig

für eine bestimmte Applikation eine Vorgehensweise

eine bestimmte Tool-Kombination dafür zu wählen

und sich nicht auf das oder die Tools alleine zu

Diese einmal gefundene Gesamt-Vorgehensweisewiederholt angewendet werden für verschiedene Kundenvon

Änderungen der Architektur und Hardware-Parts,


Schnittstellen der Zielanwendung (Fahrzeug),

ASIL-abhängigen Funktionen (Safety Goals).




Wahrscheinlichkeits-Analyse und Bewertung der

(PMHF Top Level oder Cut Set).

Vorgehensweise aus den gezeigten Methoden zu wählen,

wählen

zu verlassen

Vorgehensweise für eine bestimmte Applikation kann dannKunden bzw. Neuentwicklungen unter Beachtung

Parts,


Documents

Vorgehensweise zum Nachweis der quantitativen Ziele aus ......1998/2000 First publication of IEC 61508 Motivation: creation of a generic safety standard for other sector safety standards