Vorgehensweise zum Nachweis der quantitativen Zieleaus Teil 5 der ISO 26262
Peter LascychISO 26262
Automotive
ISO 26262Auswirkungen der neuen Norm auf sicherheitsrelevante elektrische/elektronische Systeme in Kraftfahrzeugen
ASQF – 24.02.2011, Nürnberg
Vorgehensweise zum Nachweis der quantitativen Zieleaus Teil 5 der ISO 26262
Peter LascychISO 26262ISO 26262
Auswirkungen der neuen Norm auf sicherheitsrelevante elektrische/elektronische Systeme in Kraftfahrzeugen
24.02.2011, Nürnberg
Our Divisions Shape the Megatrends in the Automotive Industry
EnvironmentSafety
Conservation of natural resources. Sustained mobility.
Powertrain
Interior
Tires
ContiTech
Increase in safety systems in the vehicle.Safe mobility.
Chassis & Safety
Interior
Tires
ContiTech
2 © Continental AG
Affordable Cars
Growing demand for individual mobility in future markets.
Chassis & Safety Powertrain Interior Tires ContiTech
ContiTechContiTech
Our Divisions Shape the Megatrends in the Automotive Industry
Environment Information
Sophisticated information management in the vehicle. Intelligent mobility.
Interior
Conservation of natural
Sustained mobility.
Affordable Cars
Growing demand for individual mobility in future markets.
Powertrain Interior Tires ContiTech
Strong Divisions and Business Units
Continental Corporation
Automotive Group
Chassis & Safety
ElectronicBrake Systems
HydraulicBrake Systems
Sensorics
Passive Safety& ADAS
Chassis
Powertrain
Engine Systems
Transmission
Hybrid Electric Vehicle
Sensors & Actuators
Fuel Supply
Interior
Instrumentation & Driver HMI
Infotainment & Connectivity
Body & Security
Commercial Vehicles & Aftermarket
3 © Continental AG
ChassisComponents
Aftermarket
Strong Divisions and Business Units
Continental Corporation
Rubber Group
ContiTech
Air Spring Systems
Benecke-Kaliko Group
Conveyor Belt Group
Elastomer Coatings
Passenger and Light Truck Tires
OriginalEquipment
ReplacementBusinessEurope & Africa
ReplacementBusinessThe Americas
Commercial Vehicle Tires
Truck Tires Europe
Truck TiresThe Americas
Truck Tires Replacement Business Asia
Industrial Tires Coatings
Fluid Technology
Power Trans-mission Group
Vibration Control
Other Operations
The Americas
ReplacementBusinessAsia
Two-Wheel Tires
Industrial Tires
Vorgehensweise zum Nachweis der quantitativen Zieleaus Teil 5 der ISO 26262
1. Motivation
2. Erläuterung der Anforderungen der Norm2. Erläuterung der Anforderungen der Norm
3. Theoretische Methoden zum Nachweis
4. Praktische Tools zum Nachweis
5. Fazit und Empfehlungen aus der Praxis zur Vorgehensweise
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
4 / Lascych, / 2010 © Continental AG
Vorgehensweise zum Nachweis der quantitativen Ziele
Erläuterung der Anforderungen der NormErläuterung der Anforderungen der Norm
Theoretische Methoden zum Nachweis
Fazit und Empfehlungen aus der Praxis zur Vorgehensweise
Vorgehensweise zum Nachweis der quantitativen Zieleaus Teil 5 der ISO 26262
1. Motivation
2. Erläuterung der Anforderungen der Norm2. Erläuterung der Anforderungen der Norm
3. Theoretische Methoden zum Nachweis
4. Praktische Tools zum Nachweis
5. Fazit und Empfehlungen aus der Praxis zur Vorgehensweise
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
5 / Lascych, / 2010 © Continental AG
Vorgehensweise zum Nachweis der quantitativen Ziele
Erläuterung der Anforderungen der NormErläuterung der Anforderungen der Norm
Theoretische Methoden zum Nachweis
Fazit und Empfehlungen aus der Praxis zur Vorgehensweise
Standards for Functional SafetyOverview
Derivates of Generic Standards
DO-178Aerospace
ISO 26262Automotive
(Examples)
IEC 61513
IEC 61508Generic
EN 50129Train
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
6 / Lascych / 2009 © Continental AG
IEC 60601Medicine
IEC 61513Nuclear Plants
ISO 26262Automotive
IEC 50156Firing
2011 valid !
Firing
IEC 62061Machines
IEC 61511
IEC 61508Generic
IEC 61511Process Industry
IEC 60601Medicine
From IEC 61508 to ISO 26262
1984 Start of activities for first safety standards
1990 DIN V VDE 0801 (VDE 0801)"Grundsätze für Rechner in Systemen
1994 DIN V 19250"Leittechnik - Grundlegende Sicherheitsbetrachtungen"Leittechnik - Grundlegende Sicherheitsbetrachtungen
1998/2000 First publication of IEC 61508Motivation: creation of a generic safety standard for other sector safety standards
2001 CENELEC (european standardisation organisation) ratification EN 61508
2002 Adoption as german standard DIN EN 61508
8/2004 All other standards being in conflict with IEC 61508 are withdrawn
2008 IEC 61508 update (e.g. ASICs)
2005 ISO WD 26262 (Working Draft)
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
7 / Lascych / 2009 © Continental AG
2005 ISO WD 26262 (Working Draft)
2008 ISO CD 26262 (Committee Draft)
2009 ISO DIS 26262 (Draft International Standard)
Q2 2010 Rework of ISO DIS 26262 and integrate given comments
Q3 2010 Vote for FDIS
Q3 2011 Publication of ISO 26262 as International Standard
Start of activities for first safety standards
Systemen mit Sicherheitsaufgaben"
Sicherheitsbetrachtungen für MSR-Schutzeinrichtungen" Sicherheitsbetrachtungen für MSR-Schutzeinrichtungen"
Motivation: creation of a generic safety standard for other sector safety standards
standardisation organisation) ratification EN 61508
standard DIN EN 61508
All other standards being in conflict with IEC 61508 are withdrawn
TODAY
ISO DIS 26262 (Draft International Standard) – Public available
Rework of ISO DIS 26262 and integrate given comments
Publication of ISO 26262 as International Standard
MotivationWas war – was wird
Wie hat die automotive Branche bisher entwickelt
Änderungsbasiert und an
Funktionen und Parametern orientiert
Das heißt: Es wurden für ein Produkt nicht allesondern nur die Änderungen zum vorher entwickeltenauf Sollverhalten
Welche Forderung ergibt sich aus der zunehmendenVernetzung von Systemen im Automobil ?
Vollständiger Anforderungskatalog für Systeme
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
Verständnis für Architektur und Schnittstellen
Definition von Funktionen und Einbezug möglicher
Die Fehlfunktionen und deren Auswirkung imfunktionaler Sicherheit eine zentrale Bedeutung
8 / Lascych, / 2010 © Continental AG
entwickelt ?
alle Anforderungen definiertentwickelten Produkt mit Fokus
zunehmenden Komplexität und
Systeme und Komponenten
Schnittstellen
möglicher Fehlfunktionen
im Fahrzeug haben aus SichtBedeutung
Motivation
Bei allen Neuentwicklungen muss die ISO 26262 angewendet werdenbei Weiterentwicklungen an bestehenden Systemen und Komponenten auch, jedoch sind dort Delta-Analysen oder „proven in use“ Argumentationen möglich.
EV und HEV Fahrzeuge sind komplette Neuentwicklungen,EV und HEV Fahrzeuge sind komplette Neuentwicklungen,daher greifen hier die Anforderungen der ISO 26262 in vollem Umfang.
Zentraler Startpunkt ist die Gefahren-Analyse auf Fahrzeugebene,in Verantwortung des OEM. Ausgehend von der ASIL Einstufung werden die Anforderungen herunter gebrochen auf die Tier 1 und 2 Subsysteme im Lastenheft definiert.
Je höher der ASIL desto höher sind letztlich Aufwand und somit die Kosten.
Gute Gefahren-Analyse + sinnvolle ASIL Festlegungen zu Beginn der Entwicklung:
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
Entwicklung:
a)Balance zwischen Aufwand und erforderlichem Maß der Risikoreduzierung “State of the Art”
b)ABER: Durchgängige Architektur und Architekturverständnis für Gesamtfahrzeug ist Voraussetzung ! (���� Architekturbewertung: ISO 26262 Teil 5)
9 / Lascych, 2011 © Continental AG
Bei allen Neuentwicklungen muss die ISO 26262 angewendet werden,bei Weiterentwicklungen an bestehenden Systemen und Komponenten auch, jedoch sind dort
“ Argumentationen möglich.
EV und HEV Fahrzeuge sind komplette Neuentwicklungen,EV und HEV Fahrzeuge sind komplette Neuentwicklungen,daher greifen hier die Anforderungen der ISO 26262 in vollem Umfang.
Analyse auf Fahrzeugebene,in Verantwortung des OEM. Ausgehend von der ASIL Einstufung werden die Anforderungen herunter gebrochen auf die Tier 1 und 2 Subsysteme im Lastenheft definiert.
Je höher der ASIL desto höher sind letztlich Aufwand und somit die Kosten.
Analyse + sinnvolle ASIL Festlegungen zu Beginn der
Balance zwischen Aufwand und erforderlichem Maß der Risikoreduzierung “State
ABER: Durchgängige Architektur und Architekturverständnis für Gesamtfahrzeug Architekturbewertung: ISO 26262 Teil 5)
ISO 26262 „safety lifecycle“
Hazard analysisand risk assessment3.6 Hazard analysisand risk assessment3.6
Item definition3.4
Initiation of safety lifecycle3.5
Item definition3.4 Item definition3.4
Initiation of safety lifecycle3.5
and risk assessmentand risk assessment
Functional safetyconcept3.7 Functional safetyconcept3.7
Productionplanning7.4 Productionplanning7.4Operation
planning7.5 Operationplanning7.5
4 Product development:system level
HWlevel
5 HWlevel
5 66
Product release4.10
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
Operation, service and
decommissioning7.5
Production7.4 Production7.4
Product release4.10
ISO 26262 Teil 2 Kapitel 4.2.1 Figure 4.1
10 / Lascych, 2011 © Continental AG
Hazard analysisand risk assessment
Hazard analysisand risk assessment
Co
nce
pt
ph
ase
Item definition
Initiation of safety lifecycle
Item definitionItem definition
Initiation of safety lifecycle
and risk assessmentand risk assessment
Functional safetyconcept
Functional safetyconcept
Product development:system level
SWlevel
6 SWlevel
6
Product release
Driver
controllability
Other
technologies
External
measures
Co
nce
pt
ph
ase
Pro
du
ct d
evel
op
men
t
Operation, service and
decommissioning
ProductionProduction
Product release
Back to appropriate lifecycle phase
Aft
er S
OP
Die ASIL Bestimmung über die Risikograph
ASIL = Automotive Safety Integrity Level
Severity (S) Exposure (E)C0
Controllable in general
S0
No injuries--
E0 - Unusual or incredible
low
er
better
S1
Light and moderate injuries
E0 - Unusual or incredible
E1 - Very low probability
E2 - Low probability
E3 - Medium probability
E4 - High probability
S2
Severe injuries, possibly life-threatening, survival probable
E0 - Unusual or incredible
E1 - Very low probability
E2 - Low probability
E3 - Medium probability
E4 - High probability QM
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
E4 - High probability QM
S3
Life-threatening injuries (survival uncertain) or fatal
injuries
E0 - Unusual or incredible
E1 - Very low probability
E2 - Low probability
E3 - Medium probability QM
E4 - High probability QM
11 / Lascych, 2011 © Continental AG
Risikograph-MethodeControllability (C)
C1
Simply controllable
C2
Normally controllable
C3
Difficult to control or uncontrollable
QM
QM
better
Acc. to ISO 26262-3, annex B and table 4
QM
QM
QM
QM ASIL A
QM ASIL A ASIL B
QM
QM
QM ASIL A
QM ASIL A ASIL B
ASIL A ASIL B ASIL CASIL A ASIL B ASIL C
QM
QM ASIL A
QM ASIL A ASIL B
ASIL A ASIL B ASIL C
ASIL B ASIL C ASIL D
Je höher der ASIL desto höher sind letztlich Aufwand und somit die Kosten:
Entwicklungsaufwand und Kosten
Safety ConceptASIL A
Customer specification
Hazard Analysis
Safety ConceptASIL A
ASIL B
ASIL C
QM
FSM Process START
FSM Process END
Def
initi
on
of A
SIL
ASIL D
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
ASIL DConcept
12 / Lascych, 2011 © Continental AG
Metrik
Höhere Aufwände
Beispiel:
Je höher der ASIL desto höher sind letztlich Aufwand und somit die Kosten:
Safety ConceptSafety
Requirements
furtherstepsSafety Concept
Requirements
Safety Concept
Safety Requirements
Safety Concept
Safety Requirements
stepse.g.
HW analysisacc.part 5ofISO Safety Safety ISO 26262
Safety Concept
Safety Requirements
Metrik-Berechnung unfangreichere Diagnosen
Aufwände ab ASIL C:
MotivationISO 26262 Teil 5
Sicherheit wird messbar, durch Festlegungen wie Fehlfunktionen und deren Auswirkung analysiert werden müssen, welche Grenzen einzuhalten sind:
Road vehicles – Functional safetyPart 5: Product development: hardware
Dies ist ein Teil der Norm in dem quantitativen Zielvorgaben zum Nachweis der funktionalen Sicherheit in den Anforderungen stehen.
Im Teil 8 Kapitel 14 werden weitere Anforderungen für „
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
Im Teil 8 Kapitel 14 werden weitere Anforderungen für „use“ genannt, ebenfalls mit quantitativen Zielvorgaben, die strenger sind.
Hinweis: Im Folgenden wird die Baseline 19 der ISO 26262 zur Grundlage genommen !
13 / Lascych, / 2010 © Continental AG
durch Festlegungen wie Fehlfunktionen und deren Auswirkung analysiert werden müssen, welche Grenzen
hardware level
Dies ist ein Teil der Norm in dem quantitativen Zielvorgaben zum Nachweis der funktionalen Sicherheit in den Anforderungen stehen.
Im Teil 8 Kapitel 14 werden weitere Anforderungen für „Proven in Im Teil 8 Kapitel 14 werden weitere Anforderungen für „Proven in “ genannt, ebenfalls mit quantitativen Zielvorgaben, die tw. noch
19 der ISO 26262 zur Grundlage genommen !
MotivationSystematische Fehler vs. zufällige Hardwarefehler
Systematische Fehler sind solche, die
Ursachen im Entwicklungs- oder Produktionsprozess � z.B. falsche Spezifikation von Software, falscher Entwicklungsprozess etc.UND
mit nicht berechenbarer Wahrscheinlichkeit mit nicht berechenbarer Wahrscheinlichkeit undin allen Produkten gleichermaßen vorhanden sind und u.U. nur bei bestimmten Situationen zutage treten werden.
Zufällige Hardwarefehler sind solche, die
ihre Ursachen in den „anfassbaren“ Bauteilen � z.B. Leitungen, Stecker, Widerstände etc.UND
als nachweisbare Mängel mit einer berechenbaren Wahrscheinlichkeit
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
als nachweisbare Mängel mit einer berechenbaren Wahrscheinlichkeit Betriebes auftreten, trotz eines guten Designs, einer korrekten Auslegung , eines perfekten Prozess etc.
UND: Software ist bei den Maßnahmen zur Diagnosticeiner Beherrschung der gefährlichen zufälligen Fehler in einem bestimmten Maß zusammen mit der Hardware.
14 / Lascych, / 2010 © Continental AG
Systematische Fehler vs. zufällige Hardwarefehler
oder Produktionsprozess oder Werkzeugen habenz.B. falsche Spezifikation von Software, falscher Entwicklungsprozess etc.
mit nicht berechenbarer Wahrscheinlichkeit während des Betriebes auftreten können mit nicht berechenbarer Wahrscheinlichkeit während des Betriebes auftreten können
in allen Produkten gleichermaßen vorhanden sind und u.U. nur bei bestimmten Situationen
ihre Ursachen in den „anfassbaren“ Bauteilen haben und darstellenz.B. Leitungen, Stecker, Widerstände etc.
berechenbaren Wahrscheinlichkeit während des berechenbaren Wahrscheinlichkeit während des Betriebes auftreten, trotz eines guten Designs, einer korrekten Auslegung , eines perfekten
Diagnostic Coverage involviert und führt zu einer Beherrschung der gefährlichen zufälligen Fehler in einem bestimmten Maß zusammen
MotivationISO 26262 part 5 clause 5.2 (BL 16)
SPFMSPFMSPFMSPFM
LFMLFMLFMLFM
Welche Ziele sind konkret nachzuweisen ?
“Clause 8 describes two metrics to evaluate the architecture and the implemented safety mechanisms failures.
D.h.: Ist die Sicherheitsarchitektur aureichend
PMHFPMHFPMHFPMHF
D.h.: Ist die Sicherheitsarchitektur aureichend
Fehlern umzugehen ?
Complementary ...
clause 9 describes two alternatives to evaluate whether the violations is sufficiently low,
either by using a global probabilistic approach
by using a cut-set analysis to study the impact of each identified fault of an HW
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
SPFM: Single Point Faults Metric LFM:PMHF: Probabilistic Metric for random Hardware Failures
by using a cut-set analysis to study the impact of each identified fault of an HW element upon the violation of the safety goals.”
D.h.: Gibt es Abhängigkeiten im System,
wie beeinflussen sie das Sicherheitsziel
15 / Lascych, / 2010 © Continental AG
ISO 26262 part 5 clause 5.2 (BL 16)
describes two metrics to evaluate the effectiveness of the system and the implemented safety mechanisms to cope with random hardware
aureichend in der Lage mit den zufälligen Hardware-aureichend in der Lage mit den zufälligen Hardware-
describes two alternatives to evaluate whether the residual risk of safety goal
global probabilistic approach or
to study the impact of each identified fault of an HW
Latent Faults Metric
to study the impact of each identified fault of an HW element upon the violation of the safety goals.”
System, wir wirken sie zusammen,
Sicherheitsziel ?
Vorgehensweise zum Nachweis der quantitativen Zieleaus Teil 5 der ISO 26262
1. Motivation
2. Erläuterung der Anforderungen der Norm2. Erläuterung der Anforderungen der Norm
3. Theoretische Methoden zum Nachweis
4. Praktische Tools zum Nachweis
5. Fazit und Empfehlungen aus der Praxis zur Vorgehensweise
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
16 / Lascych, / 2010 © Continental AG
Vorgehensweise zum Nachweis der quantitativen Ziele
Erläuterung der Anforderungen der NormErläuterung der Anforderungen der Norm
Theoretische Methoden zum Nachweis
Fazit und Empfehlungen aus der Praxis zur Vorgehensweise
Erläuterung der Anforderungen der Norm
ISO 26262 part 5 clause 7.4.3.1 (BL 16)
“Safety analysis of hardware architectural and detailed design causes of faults shall be applied in accordance with table 3 and ISO 26262Safety analyses.
NOTE 1: The initial purpose of these analyses is to NOTE 1: The initial purpose of these analyses is to hardware architectural and detailed design. Subsequently, these analyses can be used for verification of the hardware design (see 7.4.4).
NOTE 2: In its aims of supporting the specification of the detailed design, qualitative analysis might be
NOTE 3: The level of detail of the analysis is commensurate with the level of detail of the design. Both methods can, in certain cases, be carried out at different level of detail.”
DAS HEISST
Es geht
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
Es geht
nicht primär um den Nachweis von Metriken und
um die Optimierung des Designs hinsichtlich
sekundär fallen dabei Ergebnisse an, die der beschriebenen Methode dokumentieren
17 / Lascych, / 2010 © Continental AG
Erläuterung der Anforderungen der Norm
“Safety analysis of hardware architectural and detailed design to determine effects and shall be applied in accordance with table 3 and ISO 26262-9:—, Clause 8:
of these analyses is to support the specification of the of these analyses is to support the specification of the architectural and detailed design. Subsequently, these analyses can be used for
verification of the hardware design (see 7.4.4).
supporting the specification of the hardware architectural and qualitative analysis might be appropriate and sufficient.
NOTE 3: The level of detail of the analysis is commensurate with the level of detail of the design. Both methods can, in certain cases, be carried out at different level of detail.”
von Metriken und harten Zielen, sondern
hinsichtlich der Erreichung der Sicherheitsziele und
an, die die Ziel-Ereichung und korrekte Anwendungdokumentieren.
ISO 26262 part 5 clause 8.4.3:“The estimated failure rates for hardware parts used in the analyses shall be determined either:
a) Using hardware part failure rates data from a
EXAMPLE: Commonly recognised industry sources to determine the hardware part failure rates and the failure mode distributions include IEC TR 62380, IEC 61709, MIL
Failure Modes and MetricsISO 26262 part 5 clause 8: Effectiveness of the system architecture
failure rates and the failure mode distributions include IEC TR 62380, IEC 61709, MIL HDBK 217 F notice 2, RAC HDBK 217 Plus, UTE C80EN 62061 Annex D, RAC FMD97 and MIL HDBK 338.
NOTE 1: The failure rate values given in these databases are generally considered to be pessimistic.
b) Using statistics based on field returns or testsshould have an adequate confidence level; or
c) Using expert judgement founded on engineering approach based on quantitative and qualitative arguments. Expert judgement shall be exercised in accordance with structured criteria as a basis for this judgement. The according criteria shall be set before the
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
criteria as a basis for this judgement. The according criteria shall be set before the estimation of failure rates is made.
NOTE 2: These criteria can consider field experience, testing, reliability analysis, and novelty of design.”
18 / Lascych, / 2010 © Continental AG
The estimated failure rates for hardware parts used in the analyses shall be determined either:
Using hardware part failure rates data from a recognised industry source;
EXAMPLE: Commonly recognised industry sources to determine the hardware part failure rates and the failure mode distributions include IEC TR 62380, IEC 61709, MIL
Effectiveness of the system architecture
failure rates and the failure mode distributions include IEC TR 62380, IEC 61709, MIL HDBK 217 F notice 2, RAC HDBK 217 Plus, UTE C80-811, NPRD95, EN50129 Annex C, EN 62061 Annex D, RAC FMD97 and MIL HDBK 338.
NOTE 1: The failure rate values given in these databases are generally considered to be
statistics based on field returns or tests. In this case, the estimated failure rate should have an adequate confidence level; or
founded on engineering approach based on quantitative and qualitative arguments. Expert judgement shall be exercised in accordance with structured criteria as a basis for this judgement. The according criteria shall be set before the criteria as a basis for this judgement. The according criteria shall be set before the
NOTE 2: These criteria can consider field experience, testing, reliability analysis, and
Failure Modes and MetricsISO 26262 part 5 clause 8: Effectiveness of the system architecture
ASIL LFMSPFM
----A
Table 5 + 6: Possible source forthe derivation of the target value
partial detectionby safety mechanism
no detection���� immediately dangerous
ISO 26262 part 5 clause 8.4.5 / 6:
Latent
ResidualF
λλλλ total
λλλλ MPF+ λλλλ S
SPFM =
≥ 90%≥ 99%D
≥ 80%≥ 97%C
≥ 60%≥ 90%B
----A
no detection���� second fault is
dangerous
by safety mechanism���� some remain
dangerous
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
λλλλ MPF Perceived+ λλλλ MPF Detected
+ λλλλ S
LFM =λλλλ MPF
+ λλλλ S detection by driver
SPFM: Single Point Faults Metric LFM:PMHF: Probabilistic Metric for random Hardware Failures
19 / Lascych, / 2010 © Continental AG
SinglePF
Effectiveness of the system architecture
λλλλ
λλλλ total
no detectionimmediately dangerous
safe faults
DetectedMPF
Safe
PerceivedMPF
LatentMPF
Residual
λλλλ SPF
λλλλ RF
λλλλ S
λλλλ MPF Latent
MPFMPF
detection by driverdetection bysafety mechanism
Latent Faults Metric
SinglePF
Failure Modes and MetricsISO 26262 part 5 clause 9: Residual risk of safety goal violations
λλλλ
λλλλ total
PMHFPMHFPMHFPMHF First method: Evaluate violation of the
ASIL Random hardwarefailure target values
Table 7: Possiblea)
Detected
Safe
PerceivedMPF
LatentMPF
ResidualF
λλλλ SPF
λλλλ RF
λλλλ MPF Latent
λλλλ S
ASIL
< 10
failure target values
D
< 10C
< 10B
A
b) Derived from field data of similar well���� VertrauenZielwerten
c) Derived from quantitative analysis techniques applied on similar
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
MPFMPF
SPFM: Single Point Faults Metric LFM:PMHF: Probabilistic Metric for random Hardware Failures
c) Derived from quantitative analysis techniques applied on similar well-trusted design principles���� VertrauenAuslegung zusammen
20 / Lascych, / 2010 © Continental AG
Residual risk of safety goal violations
First method: Evaluate violation of the failure safety goal target value
Random hardwarefailure target values
source for the derivation of the target value
Safe
< 10-8 h-1
failure target values
< 10-7 h-1
< 10-7 h-1
--
Derived from field data of similar well-trusted design principlesVertrauen in Auslegung mit ggf. anderen realen
Derived from quantitative analysis techniques applied on similar
Latent Faults Metric
Derived from quantitative analysis techniques applied on similar trusted design principles
in Nachweismethode einer anderen realenzusammen mit Zielwerten
SinglePF
Failure Modes and MetricsISO 26262 part 5 clause 9: Residual risk of safety goal violations
λλλλ
λλλλ total
PMHFPMHFPMHFPMHF Second method: Evaluation of faults
ASILSingle Point Faults ≥ 99,9%
A --
B 2 OR 1 5
DetectedMPF
Safe
PerceivedMPF
LatentMPF
ResidualF
λλλλ SPF
λλλλ RF
λλλλ S
λλλλ MPF Latent
Failure rate class
11
22
Note: 1+, 2+ meansspecial characteristic etc. acc. to ISO 26262 part 5
B 2 OR 1 5
C 2+ OR 1 5
D 1+ 4
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
MPFMPF
SPFM: Single Point Faults Metric LFM:PMHF: Probabilistic Metric for random Hardware Failures
22
33
44
55
21 / Lascych, / 2010 © Continental AG
Residual risk of safety goal violations
faults leading to a violation of the safety goalResidual Faults Latent Multiple Point Faults
Diagnostic Coverage (DC) Diagnostic Coverage (DC) 99,9% ≥ 99% ≥ 90% < 90% ≥ 99% ≥ 90% < 90%
-- -- -- -- -- --
4 3 2 -- -- --
Safe
Failure rate class Failure rate classes target values
< PFH (ASIL D) / 100 < 10-10 / h
< PFH (ASIL D) / 10 < 10-9 / h
means failure rate class 1 or 2 in addition with dedicated measures such as burn-in test, special characteristic etc. acc. to ISO 26262 part 5 ch. 9.4.2.4
4 3 2 -- -- --
4 3 2+ 5 4 3
3 2 1+ 4 3 2
Latent Faults Metric
< PFH (ASIL D) / 10 < 10 / h
< PFH (ASIL D) < 10-8 / h
< PFH (ASIL D) x 10 < 10-7 / h
< PFH (ASIL D) x 100 < 10-6 / h
One Pager: Target Values
ASIL
Random hardwarefailure target values
Single Point Faults
Residual FaultsDiagnostic Coverage (DC)
Probability of failure per hour(PFH) ≥ 99,9% ≥ 99% ≥ 90%
A -- -- -- --
Residual Risk for Safety GoalFailure Level - - - - - - - - - - - -
Alternative: Residual Risk for Safety GoalFault Level - - - - - - - - - - - - - - - - - - - - - - - -
B Recommended: < 10-7 / h(100 FIT)
2 OR 1 5 4
C Requirement: < 10-7 / h(100 FIT)
2+ OR 1 5 4
D Requirement: < 10-8 / h(10 FIT)
1+ 4 3
Failure rate class11 < PFH (ASIL D) / 10022 < PFH (ASIL D) / 1033 < PFH (ASIL D)44 < PFH (ASIL D) x 1055 < PFH (ASIL D) x 100
Note: 1+, 2+ means failure rate class 1 or 2 in addition with dedicated measures such as burnspecial characteristic etc. acc. to ISO 26262 part 5
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
55 < PFH (ASIL D) x 100
SPFM = 1 - =λλλλ SPF
+ λλλλ RF
λλλλ total
λλλλ MPF+ λλλλ S
λλλλ total
LFM = 1 - =λλλλ MPF Latent
λλλλ MPF+ λλλλ S
λλλλ MPF Perceived+ λλλλ MPF Detected
λλλλ MPF+ λλλλ S
22 / Lascych, / 2010 © Continental AG
Faults Latent Multiple Point Faults SPFM LFMDiagnostic Coverage (DC) Diagnostic Coverage (DC)
≥ 90% < 90% ≥ 99% ≥ 90% < 90%
-- -- -- -- -- -- --
Single Point Fault
Metric
Latent Fault Metric
Effectiveness of the system architecture- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
3 2 -- -- -- ≥ 90% ≥ 60%
3 2+ 5 4 3 ≥ 97% ≥ 80%
2 1+ 4 3 2 ≥ 99% ≥ 90%
Failure rate classes target values< PFH (ASIL D) / 100 < 10-10 / h< PFH (ASIL D) / 10 < 10-9 / h
< PFH (ASIL D) < 10-8 / h< PFH (ASIL D) x 10 < 10-7 / h
< PFH (ASIL D) x 100 < 10-6 / h
failure rate class 1 or 2 in addition with dedicated measures such as burn-in test, special characteristic etc. acc. to ISO 26262 part 5 ch. 9.4.2.4
< PFH (ASIL D) x 100 < 10 / h
MPF Detected+ λλλλ S
λλλλ RF= λλλλ total
x ( 1 - ) DC
RF
100
λλλλ MPF Latent = λλλλ total
x ( 1 - ) DC
MPF Latent
100
Vorgehensweise zum Nachweis der quantitativen Zieleaus Teil 5 der ISO 26262
1. Motivation
2. Erläuterung der Anforderungen der Norm2. Erläuterung der Anforderungen der Norm
3. Theoretische Methoden zum Nachweis
4. Praktische Tools zum Nachweis
5. Fazit und Empfehlungen aus der Praxis zur Vorgehensweise
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
23 / Lascych, / 2010 © Continental AG
Vorgehensweise zum Nachweis der quantitativen Ziele
Erläuterung der Anforderungen der NormErläuterung der Anforderungen der Norm
Theoretische Methoden zum Nachweis
Fazit und Empfehlungen aus der Praxis zur Vorgehensweise
Erläuterung der Anforderungen der Norm
Induktive und deduktive Methoden
Methoden
Deductive safety analysis methods are top
1Deduktive Analysez.B.. FTA, reliability block diagrams, Ishikawa
2 Induktive Analysez.B. FMEA, ETA, Markov modelling
ISO 26262-5 Table 3 — Hardware design safety analysis
Deduktiv
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
Deductive safety analysis methods are topstart from known effects to seek unknown causes
Inductive safety analysis methods are bottomstart from known causes to forecast unknown effects
top-down
bottom-up
Induktiv
24 / Lascych, / 2010 © Continental AG
Erläuterung der Anforderungen der Norm
ASIL
A B C D
safety analysis methods are top-down methods that
, Ishikawa diagramo + ++ ++
++ ++ ++ ++
safety analysis methods are top-down methods thatstart from known effects to seek unknown causes.
safety analysis methods are bottom-up methods thatstart from known causes to forecast unknown effects.
Explenation of inductive analysis methods
Failure Mode and Effects Analysis (FMEA)
is a procedure in product development and operations management for analysis of potential failure modes within a system for classification by the severity and likelihood of the failures. A successful FMEA activity helps a team to identify potential failure modes based on past experience with similar products or processes, enabling the team to design those failures out of the system with the minimum of effort and resource expenditure, thereby reducing development time and costs. of effort and resource expenditure, thereby reducing development time and costs.
Event Tree Analysis (ETA)
An event tree is a graphical representation of the logic model that identifies and quantifies the possible outcomes following an initiating event.
Markov modelling
In probability theory, a Markov model is a stochastic model that assumes the Markov property. Generally, this assumption enables reasoning and computation with the model that would otherwise be intractable.
A stochastic process has the Markov property if the conditional probability distribution of future states of the process (conditional on both past and present values) depends only upon the present state; that is,
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
the process (conditional on both past and present values) depends only upon the present state; that is, given the present, the future does not depend on the past. A process with this property is said to be Markovian or a Markov process.
Source: Wikipedia, ISOGRAPH
25 / Lascych, / 2010 © Continental AG
of inductive analysis methods
is a procedure in product development and operations management for analysis of potential failure modes within a system for classification by the severity and likelihood of the failures. A successful FMEA activity helps a team to identify potential failure modes based on past experience with similar products or processes, enabling the team to design those failures out of the system with the minimum of effort and resource expenditure, thereby reducing development time and costs. of effort and resource expenditure, thereby reducing development time and costs.
An event tree is a graphical representation of the logic model that identifies and quantifies the possible
In probability theory, a Markov model is a stochastic model that assumes the Markov property. Generally, this assumption enables reasoning and computation with the model that would otherwise be
A stochastic process has the Markov property if the conditional probability distribution of future states of the process (conditional on both past and present values) depends only upon the present state; that is, the process (conditional on both past and present values) depends only upon the present state; that is, given the present, the future does not depend on the past. A process with this property is said to be
Explenation of deductive analysis methods
Fault Tree Analysis (FTA)
is a failure analysis in which an undesired state of a system is analyzed using boolean logic to combine a series of lowerevents. This analysis method is mainly used in the field of safety engineering to quantitatively determine the probability of a safety hazard.safety hazard.
Reliability block diagrams (RBD)
is a diagrammatic method for showing how component reliability contributes to the success or failure of a complex system. RBD is also known as a dependence diagram (DD).
Ishikawa diagram (fishbone diagrams or cause-and-effect diagrams)
are diagrams that show the causes of a certain event. Common uses of the Ishikawa diagram are product design and quality
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
uses of the Ishikawa diagram are product design and quality defect prevention, to identify potential factors causing an overall effect. Each cause or reason for imperfection is a source of variation. Causes are usually grouped into major categories to identify these sources of variation.
Source: Wikipedia,
26 / Lascych, / 2010 © Continental AG
Explenation of deductive analysis methods
is a failure analysis in which an undesired state of a system is logic to combine a series of lower-level
events. This analysis method is mainly used in the field of safety determine the probability of a
is a diagrammatic method for showing how component reliability contributes to the success or failure of a complex system. RBD
effect diagrams)
are diagrams that show the causes of a certain event. Common uses of the Ishikawa diagram are product design and quality uses of the Ishikawa diagram are product design and quality defect prevention, to identify potential factors causing an overall effect. Each cause or reason for imperfection is a source of variation. Causes are usually grouped into major categories to
Fünf Schritte zur Erstellung einer FME(D)A
Generell wird eine FME(D)A in 5 Schritten entwickelt:
Systemanalyse
1. Schritt 2. Schritt 3. Schritt
Erfassen und Strukturieren der beteiligten Elemente
Systemstruktur
Funktionen den Strukturele-menten zuordnen
Sicherheitsziele
Fehlfunktion den Funktionen zuordnen
Hazards auf Ebene
1. SchrittStrukturanalyse
2. SchrittFunktionsanalyse
3. SchrittFehleranalyse
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
Systemstruktur erstellen
Definition der externen und internen Schnittstellen
Sicherheitsziele auf Ebene 1 eintragen
Funktionen verknüpfen
Hazards auf Ebene 1 eintragen
Ausfallraten und Modi der Bauteile eintragen
Fehlfunktion verknüpfen
Quelle: VDA Band 4 “System FMEA” + Ergänzungen
27 / Lascych, / 2010 © Continental AG
Fünf Schritte zur Erstellung einer FME(D)A
Generell wird eine FME(D)A in 5 Schritten entwickelt:
Schritt 4. Schritt 5. Schritt
Risikoanalyse und Maßnahmen
Risiko mit weiteren Maßnahmen mindern
Bewerten des
Fehlfunktion den Funktionen zuordnen
Hazards auf Ebene
Dokumentation der aktuellen Vermeidungs- und Entdeckungs-maßnahme
SchrittFehleranalyse
4. SchrittMaßnahmenanalyse
5. SchrittOptimierung
Bewerten des geänderten Standes
Hazards auf Ebene 1 eintragen
Ausfallraten und Modi der Bauteile eintragen
Fehlfunktion verknüpfen
maßnahme
DC gemäß implementierter Funktionen eintragen
Bewerten des aktuellen Standes
HW Fehlermöglichkeitenz.B. Birolini
short interruption driftdigital bipolar IC 30 *∆ 30 * --
digital MOS IC 20 ∆ 60 * --
linear IC -- 25 + --
Deviceall values are given in percent
Relative probability of failure modes of electronic devices(informative)
linear IC -- 25 + --bipolar transistor 75 25 --fieldeffect transistor (FET) 80 15 5diodes universal 50 30 20 Zener 20 40 40
thyristor 40 10 --
optoelectronic device 10 50 40fixed resistor ≈ 0 60 40
variabel resistor ≈ 0 30 30capacitor film 50 40 10 ceramic 50 20 30 Tantal (dry) 60 30 10 Alloy (electrolyte) 30 30 40coil 40 40 10
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
Source: Prof. Dr. Alessandro Birolini, Zuverlässigkeit von Geräten und Systemen
coil 40 40 10
relay 20 -- --
cristal (frequency generator) -- 80 20
28 / Lascych, / 2010 © Continental AG
drift function error20
20
75 ++
all values are given in percent
Relative probability of failure modes of electronic devices(informative)
* 50% input / 50% output∆ 50% short circuit to Vcc / 50% short to GND
75 ++
--------
50 ◊
----
40 #
--------10
+ no output
++ wrong input
◊ does not open
# wear
† contact
10
80 †
--
Beispiele der “Diagnostic Coverage”
DC depends on architecture and level of independence (ISO 26262 part 5 annex D):
Table D.1 - Analyzed faults or failures modes in the derivation of diagnostic coverage (excerpt)
Analogue I/O and
ElementSee
TablesAnalyzed failure modes for 60/90/99% DC
Low (60 %) Medium (90 %)
Table D.2 – Systems (excerpt)
Digital I/O
D.7Digital I/O Stuck-at fault model
Analogue I/O Stuck-atfault modelDrift and oscillation
Safety mechanism/measureSee overview of
techniquesTypical diagnostic coverage
considered achievable
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
(Excerpts simplified, for details please refer to standard)
techniques considered achievable
Failure detection by on-line monitoring
D.2.1.1 Low
comparator D.2.1.2 High
Majority voter D.2.1.3 High
Dynamic principles D.2.2.1 Medium
29 / Lascych, / 2010 © Continental AG
“Diagnostic Coverage”
DC depends on architecture and level of independence (ISO 26262 part 5 annex D):
Analyzed faults or failures modes in the derivation of diagnostic coverage (excerpt)
Analyzed failure modes for 60/90/99% DCMedium (90 %) High (99 %)
modelfault model
Drift and oscillation
modelDrift and oscillation
fault model Drift and oscillation
Typical diagnostic coverage considered achievable Notesconsidered achievable
Depends on diagnostic coverageof failure detection
Depends on the quality of the comparison
Depends on the quality of the voting
MediumDepends on diagnostic coverageof failure detection
Vorgehensweise zum Nachweis der quantitativen Zieleaus Teil 5 der ISO 26262
1. Motivation
2. Erläuterung der Anforderungen der Norm2. Erläuterung der Anforderungen der Norm
3. Theoretische Methoden zum Nachweis
4. Praktische Tools zum Nachweis
5. Fazit und Empfehlungen aus der Praxis zur Vorgehensweise
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
30 / Lascych, / 2010 © Continental AG
Vorgehensweise zum Nachweis der quantitativen Ziele
Erläuterung der Anforderungen der NormErläuterung der Anforderungen der Norm
Theoretische Methoden zum Nachweis
Fazit und Empfehlungen aus der Praxis zur Vorgehensweise
Praktische Tools zum Nachweis
Fehlerbaum-MethodeZ.B. FaultTree+ der Firma ISOGRAPHZ.B. Medini Analyze der Firma IKV
FMEDAZ.B. MS Excel / Microsoft Office
Hierarchische Struktur-Analyse überZ.B. IQ-FMEA der Firma APIS
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
Z.B. SafetyOffice der Firma EngineersConsulting
31 / Lascych, / 2010 © Continental AG
Firma ISOGRAPHFirma IKV
über FMEDA
EngineersConsulting GmbH
FTA MethodeFaultTree+
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
32 / Lascych, / 2010 © Continental AG
FTA MethodeIKV Medini Analyze
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
33 / Lascych, / 2010 © Continental AG
FMEDA MethodeMS Excel
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
34 / Lascych, / 2010 © Continental AG
FMEDA-MethodeAPIS IQ-RM 6.0
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
35 / Lascych, / 2010 © Continental AG
FMEDA-MethodeSafetyOffice FMEDA
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
36 / Lascych, / 2010 © Continental AG
FMEDA-MethodeSafetyOffice FTA/FMEA
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
37 / Lascych, / 2010 © Continental AG
Vorgehensweise zum Nachweis der quantitativen Zieleaus Teil 5 der ISO 26262
1. Motivation
2. Erläuterung der Anforderungen der Norm2. Erläuterung der Anforderungen der Norm
3. Theoretische Methoden zum Nachweis
4. Praktische Tools zum Nachweis
5. Fazit und Empfehlungen aus der Praxis zur Vorgehensweise
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
38 / Lascych, / 2010 © Continental AG
Vorgehensweise zum Nachweis der quantitativen Ziele
Erläuterung der Anforderungen der NormErläuterung der Anforderungen der Norm
Theoretische Methoden zum Nachweis
Fazit und Empfehlungen aus der Praxis zur Vorgehensweise
Fazit und Empfehlungen aus der Praxis zur Vorgehensweise
Die ISO 26262 fordert in Teil 5 eine quantitative Wahrscheinlichkeits
Architektur (SPFM, LFM),
Verletzung der Sicherheitsziele (PMHF Top Level
Es ist daher notwendigEs ist daher notwendig
für eine bestimmte Applikation eine Vorgehensweise
eine bestimmte Tool-Kombination dafür zu wählen
und sich nicht auf das oder die Tools alleine zu
Diese einmal gefundene Gesamt-Vorgehensweisewiederholt angewendet werden für verschiedene Kundenvon
Änderungen der Architektur und Hardware-Parts,
Continental Automotive SystemsBusiness Unit Hybrid Electric Vehicle
Schnittstellen der Zielanwendung (Fahrzeug),
ASIL-abhängigen Funktionen (Safety Goals).
SPFM: Single Point Faults Metric LFM:PMHF: Probabilistic Metric for random Hardware Failures
40 / Lascych, / 2010 © Continental AG
Fazit und Empfehlungen aus der Praxis zur Vorgehensweise
Wahrscheinlichkeits-Analyse und Bewertung der
(PMHF Top Level oder Cut Set).
Vorgehensweise aus den gezeigten Methoden zu wählen,
wählen
zu verlassen
Vorgehensweise für eine bestimmte Applikation kann dannKunden bzw. Neuentwicklungen unter Beachtung
Parts,
Latent Faults Metric