Funktionale Sicherheit; Stand: 2010-09-09 (ENTWURF) 1 / 19 © APIS Informationstechnologien GmbH
Funktionale Sicherheit
ENTWURF 2010-09-09
nur zum persönlichen Gebrauch
Hinweise senden Sie bitte an:
Dieses Dokument enthält Inhalte, die derzeit von Experten geprüft werden.
Die jeweils aktuelle Version des Dokuments steht zum Download bereit:
http://iq.apis.de/FunktionaleSicherheit
Im APIS Forum wird im Board „Funktionale Sicherheit“ über geänderte Versionen informiert. Wünschen Sie
eine automatische Benachrichtigung, dann aktivieren Sie bitte die Abonnement-Funktionalität zu dem Board.
Falls Sie keinen Zugriff auf das Board haben, dann ist eine Freischaltung notwendig. Bitte senden Sie in diesem
Fall eine E-Mail an: [email protected]
Alle in dieser Unterlage enthaltenen Angaben sind ohne Gewähr und können ohne weitere Benachrichtigung geändert werden. Die APIS
Informationstechnologien GmbH geht hiermit keinerlei Verpflichtung ein. Die in dieser Unterlage beschriebene Software ist auf Basis eines
Lizenzvertrages geliefert.
Alle Rechte sind weltweit vorbehalten. Diese Unterlage darf, auch auszugsweise, nicht ohne ausdrückliche schriftliche Erlaubnis der APIS
Informationstechnologien GmbH weder vervielfältigt, weitergegeben, umgeschrieben, in einer Datenbank gespeichert oder in irgendeine Sprache
übersetzt werden. Die Vervielfältigung ist weder elektronisch, noch mechanisch, magnetisch oder manuell erlaubt.
Funktionale Sicherheit; Stand: 2010-09-09 (ENTWURF) 2 / 19 © APIS Informationstechnologien GmbH
Inhalt
Vorwort 3
Abkürzungen 3
Aufgabenstellung 3
Lösung 5 Strukturbaum und Fehlernetz 5 Berechnungen im Fehlernetz 6 Das FMEDA-Formblatt 7 Fehlertabelle 8
Risikograph zur ASIL-Klassifizierung 8 Safe oder Dangerous 9
Berechnungen 9
Funktionsnetzverfahren 10
Standardbauteilkataloge 10 Berechnungsstrategien 12 Sicherheitskonzept 14
Quantitative Kenngrößen und Formeln 14 Berechnung in der APIS IQ-Software 15
FTA 16 Minimalschnitt 16 Berechnungen im Fehlerbaum 17 FTA-Minimalschnitte 17
DC bei Entdeckungsmaßnahmen / Mechatronik-FMEA 18
Kontrollfragen 18
Anlage: Mögliche Agenda für einen Vortrag 18
Roadmap APIS IQ-Software und Funktionale Sicherheit 19
Best Practice 19 Validierungsreport mit Unterstützung der Minimalschnitte 19 Bauteile mit Fehlfunktionen 19
Funktionale Sicherheit; Stand: 2010-09-09 (ENTWURF) 3 / 19 © APIS Informationstechnologien GmbH
Vorwort
In diesem Dokument werden Verfahren zur Funktionalen Sicherheit beschrieben. Der Einsatz dieser Verfahren
ermöglicht die Entwicklung von elektrischen, elektronischen bzw. programmierbar elektronischen Systems
(E/E/PE-System), welche bei Auftreten zufälliger und/oder systematischer Ausfälle mit gefahrbringender
Wirkung im sicheren Zustand bleiben bzw. einen sicheren Zustand einnehmen.
Die IEC 61508 wird in der APIS IQ-Software unterstützt. In der folgenden Beschreibung wird die
anwendungsspezifische Norm ISO/DIS 26262 für den Bereich „Road Vehicles“ zur Verdeutlichung der
Funktionalitäten benutzt. Soll die Darstellung auf die IEC 61508 oder andere daraus abgeleitete Normen
übertragen werden, dann sind die Beispiele und Bezeichnungen entsprechend anzupassen.
In der APIS IQ-Software, und damit in gezeigten Screenshots, sind Bezeichnungen nur zum Teil eindeutig der
ISO/DIS 26262 zuzuordnen. Es wird z.B. die Bezeichnungen „SIL/ASIL“ benutzt, auch wenn im Kontext der
ISO/DIS 26262 nur „ASIL“ relevant ist.
Jürgen Eilers
E-Mail: [email protected]
Abkürzungen
E/E/PE-System elektrisch, elektronisch bzw. programmierbar elektronisches System
IEC International Electrotechnical Commission
ISO International Organization for Standardization
DIS Draft International Standard
SIL Security Integrity Level
ASIL Automotive Security Integrity Level
DC Diagnostic Coverage
FIT Failure in Time
Aufgabenstellung
Bei einem gegebenen System soll nachgewiesen werden, dass alle Anforderungen hinsichtlich funktionaler
Sicherheit erfüllt werden.
Funktionale Sicherheit; Stand: 2010-09-09 (ENTWURF) 4 / 19 © APIS Informationstechnologien GmbH
Quelle: ISO/DIS 26262-5 (2009) - Annex F: Figure F.1 - Example Diagram
Bild: Beispielsystem „Ansteuerung Cabrioverdeck“
Beim obigen System werden durch eine ECU (= µC) zwei Ventile über die Aktoren I61 und I71 geschaltet. Als
Eingangssignale stehen die Signale von den Raddrehzahlsensoren I1 und I2 zur Verfügung. Zusätzlich wird die
Temperatur mittels Sensor R3 gemessen. Eine Fahrerinformation ist über die LED L1 möglich. Ein Watchdog,
die Spannungsversorgung und einige elektronische Bauelemente runden das System ab.
Damit stellt sich das System wie folgt dar:
Bild: Beispielsystem „Ansteuerung Cabrioverdeck“ (mit Beschriftung)
Zunächst sollen Fehler bei Ventil 1 betrachtet werden. Jedem dort möglichen Fehler wird gemäß dem
Risikograph der ISO/DIS 26262-3 - Table 4 ein ASIL zugeordnet. Um die Berechnung korrekt durchführen zu
können sind auch die latenten Fehler zu betrachten.
In unserem Bespielfall konzentrieren wir uns auf den Top-Fehler „Valve 1 closes due to rf or sp“, der als ASIL C
klassifiziert wurde weil er die Funktion „Valve 1 shall not close when speed is higher than 100 km/h“ gefährdet.
Dies bedeutet praktisch, dass der Aktuator I61 fälschlicherweise bei einer Geschwindigkeit > 100 km/h
angesteuert wird.
Funktionale Sicherheit; Stand: 2010-09-09 (ENTWURF) 5 / 19 © APIS Informationstechnologien GmbH
Mit der Festlegung auf eine ASIL C ergeben sich folgende Anforderungen nach ISO/DIS 26262-5 (2009) -
Annex E Table E.1:
- Single point faults metric (SPFM): > 97%
- Latent faults metrc (LFM): > 80%
Als weitere Anforderung wird bei dem Top-Fehler „Valve 1 shall not close when speed is higher than 100
km/h“ festgelegt, dass die Fehlerrate (Failure in time (FIT)) <= 100 FIT sein muss.
Der Entwickler muss jetzt beantworten, ob das System bei diesem Top-Fehler die Anforderungen erfüllt.
Üblicherweise wird zur Berechnung auf die Erwartungswerte für die Ausfallraten von Bauteilen zurückgegriffen.
Lösung
Die APIS IQ-Software unterstützt die Systemmodellierung durch den Strukturbaum, das Funktionsnetz und das
Fehlernetz. Zunächst wird auf die Vorteile, die sich durch das Funktionsnetz ergeben, nicht eingegangen.
Strukturbaum und Fehlernetz
Zum Verständnis für das folgende Fehlernetz ist es sinnvoll einen Teil des erstellten Strukturbaums zu zeigen.
Bild: Strukturbaum
Die Basisfehler aus dem Bereich der Geschwindigkeitsmessung per Raddrehzahlsensor I1 sind im Fehlernetz mit
dem unerwünschten Top-Ereignis verknüpft.
Bild: Fehlernetz
Ausfallarten von Bauelementen sind Basisfehler. Das Fehlernetz zeigt anschaulich, welche Basisfehler zum Top-
Ereignis führen können. Wichtig im Zusammenhang mit der Funktionalen Sicherheit ist noch die Erkennung von
Funktionale Sicherheit; Stand: 2010-09-09 (ENTWURF) 6 / 19 © APIS Informationstechnologien GmbH
Fehlfunktionen, die als Diagnostic Coverage (DC) dokumentiert wird und auf beliebigen Ebenen im Fehlernetz
stattfinden kann.
Bei elektrisch, elektronischen Bauelementen gibt es zu betrachtende Fehlerarten und Erwartungswerte für die
Ausfallrate abhängig von Umgebungsbedingungen und von der Betriebsart. Details hierzu finden sich in
entsprechenden Normen und Standards; beispielhaft sei auf die Siemens-Norm SN 29500 verwiesen.
Berechnungen im Fehlernetz
Um die Berechnungen zu verstehen und mit der Ergebnisdarstellung vertraut zu werden wird das bisher gezeigt
Beispiel im Umfang reduziert.
Bild: Fehlernetz vereinfacht - Zwei Bauteile mit drei Fehlfunktionen
Wurden die Zielwerte für die Top-Fehlfunktion festgelegt (ASIL, SPFM, PFH), die Attributwerte für die
Basisfehlfunktionen eingegeben (FR) und die Diagnostic Coverage im Pfad hin zur Fehlfunktion eingegeben,
ggf. auch direkt bei der Basisfehlfunktion, dann ist folgende Darstellung möglich:
Bild: Fehlernetz vereinfacht - Anzeige der Parameter für funktionale Sicherheit.
Wie ist die gezeigte Information zu interpretieren? Beginnen wir mit dem rechten Teil des Fehlernetzes. Es
werden die angenommenen Fehlerraten der einzelnen Fehlfunktionen gezeigt und die Diagnostic Coverage bei
der übergeordneten Fehlfunktion.
Bild: Basisfehler mit Fehlerrate und Diagnostic Coverage (DC) bei der übergeordneten Fehlfunktion
Zur weiteren Berechnung wird die aktuelle Fehlerrate beim Basisfehler unter Berücksichtigung des besten DC-
Werts in Folgenrichtung reduziert. Man kann auch sagen, dass die DC-Werte im Fehlernetz, die in
Folgenrichtung vorhanden sind alle zum Basisfehler hin propagiert werden. Die Fehlerrate (FIT-Wert) des
Basisfehlers geht unter Berücksichtigung des DC-Max in die Berechnung ein.
Interessanter ist der linke Bereich im Fehlernetz mit der Top-Fehlfunktion. Dort werden die Zielwerte und die
berechneten Werte gezeigt und es gibt ein Ampelsymbol, welches schnell und anschaulich darüber informiert, ob
die Ziele erreicht werden.
Funktionale Sicherheit; Stand: 2010-09-09 (ENTWURF) 7 / 19 © APIS Informationstechnologien GmbH
Bild: Top-Ereignis mit Vorgaben und berechneten Werten
Zu sehen sind in der ersten Zeile mit Zusatzinformationen die Anforderungen, d.h. der ASIL und die geforderte
SPFM und PFH. In den weiteren Zeilen stehen die berechnete SPFM (SPFM calc.) und die berechnete PFH
(PFH calc.). Die Berechnung erfolgt im einfachsten Fall unter Berücksichtigung des Fehlernetzes nach der
gängigen Formel.
< Formel >
Unmittelbar vor den berechneten Werten informiert ein Ampelsymbol über den Status des Vergleichs und auch
darüber, ob alle zur Berechung notwendigen Werte vorhanden sind.
Zielwert wird nicht erreicht, Basisparameter unvollständig
Zielwert wird nicht erreicht
Zielwert wird erreicht, Basisparameter unvollständig
Zielwert wird erreicht
Wird der Zielwert nicht erreicht, oder sind die Basisparameter unvollständig, dann kann im Fehlernetz eine
andere, untergeordnete Fehlfunktion zum Fokuselement gemacht werden. Für den dann selektierten Teilbereich
erfolgen die Berechnung der Ist-Werte und die Überprüfung auf Vollständigkeit. Damit kann ein System iterativ
optimiert werden.
Das FMEDA-Formblatt
Die Parameter zur Funktionalen Sicherheit für die Basisfehler, z.B. die Fehlfunktionen bei Bauelementen,
werden im FMEDA-Formblatt übersichtlich gezeigt und können dort auch effizient bearbeitet werden.
Bild: FMEDA-Formblatt - Fehlerraten bei der Fehlerart (Failure Mode) erfasst
In der FMEDA-Tabelle werden die bei den Widerständen R11 und R12 vorhandenen Attributwerte zur
Funktionalen Sicherheit angezeigt, die dann in die Berechnung eingehen. In der Spalte „FM FIT“ (etwa in der
Mitte des FMEDA-Formblatts“ sind die Fehlerraten sichtbar, die bei der Fehlfunktion erfasst wurden. In den
letzten Spalten werden die FIT-Werte gezeigt, die in die Berechnung eingehen. Bei einer Diagnostic Coverage
(DC) von 99% ergeben sich die entsprechenden Dangerous Detectable (DD) und Dangerous Undetectable (DU)
Anteile.
Sollen die Fehlerraten im FMEDA-Formblatt erfasst werden, dann kann die Eingabe alternativ bei dem
Bauelement erfolgen und der prozentuale Anteil (% Distr.) der Fehlerart. Die Summe der prozentualen Anteile
darf 100% nicht überschreiten.
Funktionale Sicherheit; Stand: 2010-09-09 (ENTWURF) 8 / 19 © APIS Informationstechnologien GmbH
Bild: FMEDA-Formblatt - Fehlerrate beim Bauteil erfasst und über den prozentualen Anteil der Fehlerart
(Failure Mode) zugeordnet.
Die Spalte „Detectable“ zeigt an, ob eine Diagnostic Coverage für die Fehlerart vorhanden ist. Die Spalte
Diagnostic zeigt die (Vermeidungsmaßnahmen und) Entdeckungsmaßnahmen an, die bei der Fehlerart
vorhanden sind.
Ob die Fehlerrate bei Basisfehlern in die Klassen Safe Detectable (SD) und Safe Undetectable (SU) oder
Dangerous Detectable (DD) und Dangerous Undetectable (DD) eingestuft wird hängt von der ASIL-
Klassifizierung des Top-Fehlers ab. Als Hilfestellung für die ASIL-Klassifizierung dient der entsprechende
Risikograph
Fehlertabelle
Die Fehlertabelle kann über das Fehlernetz aufgerufen werden (Kontextmenü: Functional Safety Failure Table)
und zeigt ähnlich wie das FMEDA-Formblatt die Informationen zur Funktionalen Sicherheit in einer
tabellarischen Form.
Bild: Fehlertabelle
Risikograph zur ASIL-Klassifizierung
Ausgesetztsein E Kontrollierbarkeit C
C1 C2 C3
E1 QM QM QM
E2 QM QM QM
E3 QM QM A S1
E4 QM A B
E1 QM QM QM
E2 QM QM A
E3 QM A B S2
E4 A B C
E1 QM QM A
E2 QM A B
E3 A B C
Schwere S
S3
E4 B C D
Tabelle: Risikograph zur SIL-Klassifizierung nach ISO DIS 26262-3(2009) Tabelle 4
Die Einstufung des Top-Fehlers in die Klassen QM bzw. ASIL A bis ASIL D erfolgt über Schwere,
Ausgesetztsein und Kontrollierbarkeit mit folgenden Einstufungen nach ISO/DIS 26262-3(2009) Annex B.
Funktionale Sicherheit; Stand: 2010-09-09 (ENTWURF) 9 / 19 © APIS Informationstechnologien GmbH
Schwere (Severity
S0: keine Verletzungsgefahr
S1: geringe und mäßige Verletzungen
S2: ernste und möglicherweise tödliche Verletzungen
S3: schwere und wahrscheinlich tödliche Verletzungen
Häufigkeit des Ausgesetztseins (Exposure)
E1: selten: Situation tritt für die meisten Fahrer seltener als einmal pro Jahr auf
E2: gelegentlich: Situation tritt für die meisten Fahrer wenige Male pro Jahr auf
E3: ziemlich oft: Situation tritt für Durchschnittsfahrer einmal im Monat oder öfter auf
E4: oft: Situation die bei nahezu jeder Fahrt auftritt
Kontrollierbarkeit (Controllability)
C1: einfach kontrollierbar: weniger als 1% der durchschnittlichen Fahrer oder der anderen Verkehrsteilnehmer
können Schaden üblicherweise nicht abwenden
C2: durchschnittlich kontrollierbar: weniger als 15% der durchschnittlichen Fahrer oder der anderen
Verkehrsteilnehmer können Schaden üblicherweise nicht abwenden
C3: schwierig kontrollierbar: durchschnittliche Fahrer können Schaden üblicherweise nicht abwenden
Safe oder Dangerous
Bei einer Einstufung des Top-Fehlers in die Klasse QM wird die Fehlerrate des Basisfehlers in die Klassen Safe
Detectable (SD) bzw. Safe Undetectable (SU) eingeordnet. Jede ASIL-Klassifizierung führt in die Klassen
Dangerous Detectable (DD) bzw. Dangerous Undetectable (DU).
Ist der Top-Fehler ein latenter Fehler (Latent Failure), dann gehören die zugehörenden Basisfehler ebenfalls in
die Klassen SD bzw. SU.
Berechnungen
Basis für das Verständnis zur Berechnung sind Begriffsdefinitionen, die in ISO/DIS 26262-1 aufgeführt werden.
Die wichtigsten Bezeichnungen werden auszugsweise mit der zugehörigen Erläuterung aufgeführt. In der Norm
gibt es zu einzelnen Bezeichnungen weitere Anmerkungen.
fault abnormal condition that can cause an element or an item to fail
failure termination of the ability of an element or an item to perform a function as required
residual fault (λ RF) portion of a fault that itself leads to the violation of a safety goal, occurring in a
hardware element, where that portion of the fault is not covered by safety
mechanisms
single point fault (λ SPF) fault in an element that is not covered by safety mechanism and that leads directly to
the violation of a safety goal
latent fault multiple point fault whose presence is not detected by a safety mechanism nor
perceived by the driver within the multiple point fault detection interval
multiple point fault (λ MPF) individual fault that, in combination with other independent faults, leads to a
multiple point failure
multiple point failure failure, resulting from the combination of several independent faults, which leads
directly to the violation of a safety goal
perceived fault fault whose presence is deducted by the driver within a prescribed time interval
detected fault fault whose presence is detected by a safety mechanism within a prescribed time
Funktionale Sicherheit; Stand: 2010-09-09 (ENTWURF) 10 / 19 © APIS Informationstechnologien GmbH
safe fault (λ S) fault whose occurrence will not significantly increase the probability of violation of
a safety goal
Funktionsnetzverfahren
Das Funktionsnetzverfahren ergänzt die bisherige Beschreibung zur Berechnung der quantitativen Kenngrößen
beim Top-Fehler.
Über das Funktionsnetz werden die Fehler für die Berechnung berücksichtigt, die nicht direkt über das
Fehlernetz verknüpft sind. Das sind Fehler, die gemeinsam in einer funktionalen Baugruppe auftreten können,
allerdings keine unmittelbare Auswirkung auf den betrachteten Top-Fehler haben. Diese Fehler gehen in den
Anteil für die Safe Faults (= λS) ein. Ausgehend von der Funktion des Top-Fehlers werden hier alle Fehler
betrachtet, die bei den Basisfunktionen (erreichbar über das Funktionsnetz) verankert sind.
Standardbauteilkataloge
Grundlage für die Zuverlässigkeitsberechnung von Systemen sind die Ausfallraten von Bauelemente. Dazu wird
auf bekannte Daten bei Referenzbedingungen zurückgegriffen. Erwartungswerte für ein realisiertes System
können berechnet werden. Die jeweiligen Betriebsbedingungen sind die Parameter für ein geeignetes
Umrechnungsmodell.
Zur Bestimmung der Ausfallraten von Komponenten können eigene Standards erstellt werden und/oder es wird
auf gängige Standards zurückgegriffen. Mit den für Referenzbedingungen vorhandenen Daten für die jeweilige
Bauelementeart und einem Umrechnungsmodell wird der Erwartungswert für die Ausfallrate bei anderen
Einsatzbedingungen berechnet. Beispielsweise ändert sich bei der Bauelementart „passives Bauelement -
Widerstand - Kohleschicht - >100 kOhm“ der Referenzwert λref = 1 FIT auf 2,8 FIT, wenn die Temperatur 100
Grad beträgt.
Um die Arbeit zu erleichtern wurde der APIS CARM-NG-CSS Functional Safety realisiert. Die Adresse des
CARM-NG Servers wird bei den Arbeitsplatzeinstellungen der IQ-Software eingetragen.
Funktionale Sicherheit; Stand: 2010-09-09 (ENTWURF) 11 / 19 © APIS Informationstechnologien GmbH
Bild: Arbeitsplatzeinstellungen - CARM-Server / CARM-NG-Server
Es ist dann möglich über das FMEDA-Formblatt allen Systemelementen einen FIT-Wert zuzuordnen. Über den
Menüeintrag „Bearbeiten | Art des Bauteils / FIT-Wert bestimmen“ wird ein Dialog zur Auswahl der
Berechnungsstrategie und der Komponente geöffnet. Im selben Dialog können auch die Parameter für die
Berechnungsformel eingegeben werden.
Bild: Bauteil und FIT-Wert bestimmen mit Unterstützung des CSS Functional Safety
Funktionale Sicherheit; Stand: 2010-09-09 (ENTWURF) 12 / 19 © APIS Informationstechnologien GmbH
Nach Übernahme der berechneten FIT-Werte gibt es im FMEDA-Formblatt die Bauteilbezogenen FIT-Werte,
die dann noch anteilig den Fehlfunktionen zugeordnet werden indem der jeweilige prozentuale Anteil
eingegeben wird.
Bild: Bauelemente mit berechneten FIT-Werten basierend auf dem zentralen Bauteilekatalog
Bild: Fehlerarten der Bauelemente mit anteiligen FIT-Werten unter Berücksichtigung der Diagnostic
Coverage.
Berechnungsstrategien
Die Berechnungsstrategie zur Ermittlung der bauteilbezogenen FIT-Werte wird über einen CARM-NG-Server
Service, den CSS Funktional Safety, allen Nutzern der APIS IQ-Software zur Verfügung gestellt.
Berechnungsstrategien können vom Anwender selbst definiert werden. Damit ist es möglich vorhandene
Standards, wie z.B. die Siemens Norm SN 29500, als Grundlage für die weitere Nutzung in den CSS Functional
Safety zu integrieren.
Die Funktionalitäten bei einer Bewertungsstrategie werden anhand der Implementierung der SN 29000-4
„Erwartungswerte für Passive Bauelemente“ erklärt.
Wie bei jedem anderen CARM-Server Service (CSS) ist die Administration des CSS Functional Safety über den
Menüeintrag „CARM-Server | Administration“ erreichbar. Voraussetzung ist, dass in den
Arbeitsplatzeinstellungen der entsprechende Eintrag, der die Administration freischaltet, aktiv ist.
Funktionale Sicherheit; Stand: 2010-09-09 (ENTWURF) 13 / 19 © APIS Informationstechnologien GmbH
Bild: CARM-Server Administration mit aktivem Bereich CSS Functional Safety und selektierter
Bauelementkategorie „Widerstand“
Im Bereich CSS Functional Safety befinden sich vier Teilbereiche:
Calculation Strategy enthält den Namen der Berechnungsstrategie
Component enthält einen hierarchischen Baum mit Bauelementen; innerhalb des Baums werden
die zur Calculation Formula gehörenden Einträge vererbt
Calculation formula enthält die mathematische Berechnungsformel mit den Konstanten, Variablen und
„Choice“-Variablen
„Choice“-Definition Auswahl aus einer vordefinierten Liste
Die gezeigte Berechnungsformel kann als Muster für eigene Berechnungsformeln dienen. Die Festlegung der
Konstanten ist selbsterklärend. Hier nochmals der Hinweis, dass alle Informationen „vererbt“ werden, d.h. bei
einem konkreten Bauteil kann auf die Berechnungsformel und Konstante verzichtet werden, wenn diese bereits
auf einer übergeordneten Ebene im Hierarchiebaum definiert worden sind.
Funktionale Sicherheit; Stand: 2010-09-09 (ENTWURF) 14 / 19 © APIS Informationstechnologien GmbH
Bild: Berechnungsformel beim Widerstand
Bild: Definition der Konstanten und Festlegung der Variablen, die in der Berechnungsformel benötigt
werden.
Sicherheitskonzept
Die auf dem CARM-NG-Server hinterlegten Berechnungsstrategien enthalten sensible Informationen über das
Erfahrungswissen zu Bauelementen und Berechnungsstrategien. Aus diesem Grund unterliegt der Zugriff auf
den CARM-NG-Server einem rollenbasierten Konzept. Nur wenn Anwendern eine Zuordnung zur Rolle „FS
Admin“ und „FS User“ haben, stehen Ihnen die Informationen zur Verfügung, die im Rahmen des CSS
Functional Safety vorhanden sind. Die Zuordnung kann über einen Security Configuration Wizard
vorgenommen werden.
Eine Ankopplung an das Active Directory bzw. LDAP-Ankopplung ist möglich.
Quantitative Kenngrößen und Formeln
Eine detaillierte Beschreibung der quantitativen Kenngrößen zur Funktionalen Sicherheit befindet sich in der
ISO DIS 26262. Top-Fehler können alternativ in eine der folgenden Klassifizierungen erhalten: QM, ASIL A, -
B, - C, - D oder Latenter Fehler.
Wurde eine der ASIL-Klassen zugeordnet, dann ist das Anspruchniveau für SPFM-Soll und PFH-Soll mit den
berechneten Werten „SPFM berechnet“ und „PFH berechnet“ zu vergleichen.
Funktionale Sicherheit; Stand: 2010-09-09 (ENTWURF) 15 / 19 © APIS Informationstechnologien GmbH
Das Fehlermodell (Faults Model) der ISO/DIS unterscheidet bei den relevanten Fehlerarten zwischen Safe Fault
( λ S ), Detected Multiple Point Fault ( λ MPF detected ; auch λ MPF D), Perceived Multiple Point Fault ( λ MPF perceived ;
auch λ MPF P), Latent Multiple Point Faults ( λ MPF latent ; auch λ MPF L), Single Point Fault ( λ SPF ) und Residual Fault
( λ RP ).
Grafik: <Faults Model: ISO/DIS 26262-5 C.1-Seite 34)
Bild: Faults Model nach ISO/DIS 26262(2009)
Die Berechnung der Single Point Fault Metric (SPFM) ist in ISO/DIS 26262 wie folgt beschrieben:
SPFM berechnet = <Formel ISO/DIS 26262-5 C.2-Seite 36>
Grafik: <Grafische Darstellung der Single Point Fault Metric; ISO/DIS 26262-5 C.2-Seite 36>
Bild: Grafische Darstellung der Single Point Fault Metric (SPFM) nach ISO/DIS 26262(2009)
SPFM für einen Top-Fehler ist nach ISO/DIS 26262 der prozentuale Anteil aller relevanten Fehlerraten (λ), die
NICHT Dangerous Undetected (= λ SPF + λ RF) sind. SPFM wird also tendenziell besser, wenn zusätzliche
Bauelemente mit relevanten Fehlerraten hinzukommen, wenn diese z.B. Multiple Point Faults sind (Detected,
Perceived oder Latent). Alternativ kann versucht werden den Anteil im Bereich Dangerous Undetected durch
eine verbesserte Diagnostic Coverage zu reduzieren.
LFM berechnet = <Formel ISO/DIS 26262-5 C.3-Seite 37>
Grafik: <Grafische Darstellung der Latent Fault Metric; ISO/DIS 26262-5 C.3-Seite 37>
Bild: Grafische Darstellung der Latent Fault Metric (LFM) nach ISO/DIS 26262(2009)
Bei LFM wird nach ISO/DIS der prozentuale Anteil der NICHT Latenten Fehler betrachtet. Dabei gehören zur
Grundgesamtheit nur die relevanten Fehlerarten reduziert um die Dangerous Undetected (= λ SPF + λ RF), die nicht
auf die sich die Berechnung des prozentualen Anteils aller relevanten Fehlerraten, die NICHT Dangerous
Undetected
Berechnung in der APIS IQ-Software
In der APIS IQ-Software werden folgende Berechnungsformeln verwendet (Quelle: IQ-Software Hilfe, Stand
2010-09-02):
SFF (Einzelfehlerbetrachtung)
(lambda SU + lambda SD + lambda DD)
sff = ----------------------------------------------------------------------
(lambda SU + lmabda SD + lambda DD + lambda DU)
Hierbei sind die jeweiligen lambda-Werte die Summe aller lambda-Werte der Basisfehler aus dem Fehlernetz
des Einzelfehlers (Sicherheitsziel). Über das Funktionsnetz der Funktion, bei der der Einzelfehler verankert ist,
werden die lambdaS-Werte bestimmt.
SFF (Latente Betrachtung)
lambda DU
sff = 1 - -----------------------------
lambda - lambda RF
Funktionale Sicherheit; Stand: 2010-09-09 (ENTWURF) 16 / 19 © APIS Informationstechnologien GmbH
lambdaRF (Residual Faults) ::= entspricht dem lambdaDU der Einzelfehlerbetrachtung.
PFH-Wert:
ist die Summer aller lambdaDU-Werte der Basisfehler des Einzelfehlers bzw. des latenten Fehlers.
FTA
Die Fehlerbaumanalyse (fault tree analysis, FTA) bietet die Möglichkeit in den Kausalitätsbeziehungen der
Fehlfunktionen (Fehlerfolge - Fehlerart - Fehlerursache) die bei der FMEA implizit verwendeten ODER-
Operatoren zu sehen, diese zu ändern oder auch zusätzliche Operatoren einzufügen und dann die Fehlfunktionen
den zusätzlichen Operatoren zuzuordnen. Insbesondere ist es damit möglich auch UND-Operatoren einzufügen.
Bild: Fehlernetz „Valve 1 closes due to rf or sp“
Wird zu einem bestehenden Fehlernetz ein Fehlerbaum erstellt, dann sind zunächst dort ODER-Operatoren als
Zusatzknoten eingefügt.
Bild: Fehlerbaum „Valve 1 closes due to rf or sp“
Minimalschnitt
Zur Berechnung der quantitativen Kenngrößen für den Top-Fehler wird der Minimalschnitt verwendet. Dieser
zeigt auf, welche Basisfehler mit welchen Operatoren verknüpft zum Top-Fehler führen. In unveränderten
Fehlerbäumen, die auf Fehlernetzen basieren, werden redundanzfrei alle Basisfehler mit einem ODER-Operator
dem Top-Fehler zugeordnet.
Bild: Minimalschnitt zum Fehlerbaum „Valve 1 closes due to rf or sp“
Der Minimalschnitt ist die Grundlage für die Berechnungen im Fehlerbaum basierend auf ppm bzw. alpha, beta,
lambda und mü. Dies bedeutet, dass nur bei den Basisfehlern, die im Minimalschnitt enthalten sind die
entsprechenden Attributwerte erfasst werden müssen.
Im zuvor gezeigten Fall kann der Minimalschnitt in einfacher Weise manuell erstellt werden. Werden im
Fehlerbaum zusätzliche Operatoren eingefügt und gibt es eine Mischung aus ODER- / UND-Operatoren, dann ist
das Minimieren der Basisfehlfunktionen auf die Minimalsituation mit den dann notwendigen Operatoren nur mit
Programmunterstützung effizient möglich. Als Beispiel wir ein nur leicht erweiterter Fehlerbaum und der
zugehörige Minimalschnitt gezeigt.
Funktionale Sicherheit; Stand: 2010-09-09 (ENTWURF) 17 / 19 © APIS Informationstechnologien GmbH
Bild: Fehlerbaum „Valve 1 closes due to rf or sp“ mit Zusatzoperatoren, d.h. einer Mischung aus UND-
und ODER-Operatoren
Bild: Minimalschnitt zum Fehlerbaum „Valve 1 closes due to rf or sp“ mit Zusatzoperatoren
Berechnungen im Fehlerbaum
Auf die möglichen Berechnungen im Fehlerbaum mit Ausfallrate in ppm bzw. Nichtverfügbarkeit und
Fehlerhäufigkeit soll hier nicht eingegangen werden. Weitere Informationen hierzu gibt es in der integrierten
Hilfe bzw. in den entsprechenden Seminaren der Firma APIS Informationstechnologien GmbH.
FTA-Minimalschnitte
Die FTA-Minimalschnitte haben eine hohe Relevanz, wenn es im Bereich der Funktionalen Sicherheit um die
Fehlerklassen geht, die als so genannte Multiple Point Faults bezeichnet werden. In der ISO/DIS 26262-1(2009)
steht in einer Anmerkung zur Definition des Multiple Point Faults „A ‚multiple point fault’ can only be
recognized after the identification of ‚multiple point failure’ e.g. from cut set analysis of a fault tree.”.
Betrachte man in diesem Zusammenhang das Faults Model der ISO/DIS 26262-5 genauer und die Aussagen
dazu, dann wird der unmittelbare Zusammenhang zum Minimalschnitt deutlich.
Grafik: <Faults Model: ISO/DIS 26262-5 C.1-Seite 34)
Bild: Faults Model nach ISO/DIS 26262(2009)
Zitate aus der ISO/DIS 26262-5(2009)
“Multiple point fault: one fault of several independent faults that in combination, leads to a multiple point failure
(either perceived, detected of latent)”
“Safe fault: fault whose occurrence will not significantly increase the probability of violation of a safety goal”
“The distance ‘n’ (Anm: im kreisförmigen Faults Modell eine Schicht mit Abstand ‚n’ vom Zentrum) represents
the number of independent faults present at the same time that cause a violation of the safety goal (n = 1 for
single point faults, n = 2 for dual point faults, etc.);”
“Multiple point faults of distance strictly higher than n = 2 are to be considered as safe faults unless shown
relevant in the functional or technical safety concept.”
Basierend auf diesen Aussagen kann anhand der Minimalschnitte erkannt werden in welcher Schicht des Faults
Model sich die Basisfehler befinden. Ein Basisfehler, der im Minimalschnitt direkt über einen ODER-Operator
mit dem Top-Fehler verknüpft ist gehört zu den Basisfehlern der Ordnung 1. Ein Basisfehler, der gemeinsam mit
einem anderen Basisfehlern über einen UND-Operator zum Top-Fehler führt gehört zur Ordnung 2. Müssen
mehr als zwei Basisfehler gleichzeitig auftreten, dann gehören diese Kombinationen entsprechend der Anzahl
zur Ordnung ‚n’.
Im Rahmen einer Validierung nach ISO/DIS 26262 sollten die Minimalschnitte bis zu einer angemessenen
Ordnung betrachtet werden. Die Aussage, dass “Multiple point faults of distance strictly higher than n = 2 are to
Funktionale Sicherheit; Stand: 2010-09-09 (ENTWURF) 18 / 19 © APIS Informationstechnologien GmbH
be considered as safe faults …” betrachtet werden können ist nur unter bestimmten Annahmen gerechtfertigt.
Insbesondere muss sichergestellt sein, dass kein bisher nicht betrachteter Common Cause vergessen wurde.
In der APIS IQ-Software besteht die Möglichkeit die Mininmalschnitte zu exportieren, so dass diese
Informationen in einen Validierungsreport einfach eingebunden werden können.
DC bei Entdeckungsmaßnahmen / Mechatronik-FMEA
Bisher wurde davon ausgegangen, dass die Diagnostic Coverage entweder direkt als Attributwert beim
Basisfehler vorhanden ist oder bei einer anderen Fehlfunktion in der Kausalitätskette hin zur Top-Fehlfunktion
erfasst wurde. Zur Erinnerung, der beste DC-Wert wird zum Basisfehler propagiert und dann werden die als
Detectable bzw. Undetectable Anteile der Fehlerrate bei der Berechnung berücksichtigt.
Bild: Fehlernetz vereinfacht - Anzeige der Parameter für funktionale Sicherheit.
Es ist nun möglich das Fehlernetz um Element der Mechatronik-FMEA zu erweitern. Damit gibt es dort
zusätzlich Betriebszustände, Fehlerentdeckungen und Fehlerreaktionen. Bei der Fehlerentdeckung und der
Fehlerreaktion kann ebenfalls ein DC-Wert erfasst werden, der dann entsprechend beim Berechnen
berücksichtigt wird.
Bild: Fehlernetz mit Betriebszustand, Fehlerentdeckung und Fehlerreaktion sowie DC bei der
Fehlerentdeckung
Neben dieser Alternative zur Erfassung der Diagnostic Coverage ist es auch möglich die Diagnostic Coverage
bei einer Vermeidungs- oder Entdeckungsmaßnahme zu erfassen. Dieser Attributwert wird dann hin zur
Fehlfunktion propagiert, bei der die Maßnahme verankert ist und geht dann wieder ganz normal in die
Berechnung der Kenngrößen zur Funktionalen Sicherheit ein.
Kontrollfragen
[] Zusätzliche DC-Werte im Fehlernetz haben nur dann eine Auswirkung auf berechnete Werte, wenn diese über
dem bisherigen DC-Max liegen.
Anlage: Mögliche Agenda für einen Vortrag
Thema: Funktionale Sicherheit - Unterstützungsmöglichkeiten durch die APIS IQ-Software
- Systemmodellierung: Strukturbaum, Funktions- und Fehlernetz
- Fehlerbaum und Minimalschnitte
- Objektattribute zur Funktionalen Sicherheit
- Diagnostic Coverage
Funktionale Sicherheit; Stand: 2010-09-09 (ENTWURF) 19 / 19 © APIS Informationstechnologien GmbH
- Berechnungen im Fehlernetz
- Das FMEDA-Formblatt
- Funktionsnetzverfahren
- CARM-NG-Server und Standardbauteilkataloge
Roadmap APIS IQ-Software und Funktionale Sicherheit
Konkrete Planungen zur Weiterentwicklung der Funktionalitäten im Bereich Funktionaler Sicherheit betreffen:
Mehrkanaligkeit Das Abbilden von Systemen mit Hardwareredundanz soll verbessert werden.
DC Die Berechnung der SPFM und der LFM ist derzeit durch Fehlernetze mit der
jeweils zugehörigen Diagnostic Coverage möglich. Es wird mit Anwendern
diskutiert, ob die Möglichkeit besteht bei Fehlfunktionen zwei unterschiedliche DC-
Werte zu dokumentieren und damit die Berechnung zu vereinfachen
FMEDA-Layout Die tabellarischen Darstellungen zur funktionalen Sicherheit sollen vereinheitlicht
werden. Hierbei wird diskutiert, wie das FMEDA-Formblatt und die Fehlertabelle
zusammengeführt werden kann.
Variantenspezifisch Für Anwender, die auch bei der Funktionalen Sicherheit mit Varianten arbeiten,
sollen die benötigten Attributwerte variantenspezifisch definiert werden.
Berechnungsstrategien Die Unterstützung durch Berechnungsstrategien soll ergänzt werden um die
Aktualität im Projekt auch bei einer nachträglichen Änderung der
Berechnungsstrategie zu gewährleisten.
Best Practice
Anhand von Beispielen sollen die Möglichkeiten der APIS IQ-Software verdeutlicht werden. Möchten Sie über
eigene Lösungsansätze berichten, dann senden Sie bitte eine E-Mail an Jürgen Eilers ([email protected]).
Validierungsreport mit Unterstützung der Minimalschnitte
Die im Rahmen eines Validierungsreports zu betrachtenden Basisfehler mit Ihren Auswirkungen auf Top-Fehler
können aus der Darstellung der Minimalschnitte sortiert nach der Ordnung exportiert werden. Diese exportierten
Daten können bis zur notwendigen Ordnung detaillierter betrachtet werden.
Es wird zunächst ein möglichst vollständiges Fehlernetz erstellt. Anschließend wird zum Fehlerbaum gewechselt.
Dort können Operatoren geändert und eingefügt werden. Das Erfassen von neuen Fehlfunktionen ist ebenfalls
möglich. Es werden keine quantitativen Kenngrößen zur Berechnung im Fehlerbaum erfasst, da das Ziel des
Exports von Minimalschnitten auch ohne diese Daten möglich ist.
Bauteile mit Fehlfunktionen
Soll eine Stückliste in einen Strukturbaum überführt werden und sollen diese Bauteile dann Standardfunktionen
und -fehlfunktionen erhalten, dann bietet sich folgender Weg an:
Zunächst wird die Stückliste in den Strukturbaum übernommen, z.B. wird eine Listendarstellung in Word, Excel,
ö.ä. markiert und dann mittels des Befehls „Kopieren“ (alternativ STRG+C) in die Zwischenablage übernommen.
In der IQ-Software können die Bauteile nun mit „Bearbeiten | Textinhalte einfügen“ übernommen werden.
Anschließend erhält jedes Bauelement aus einem Katalog als Funktion die Art des Bauelements und die
dazugehörenden Fehlfunktionen. Als Katalogdatei kann jede normale FME-Datei dienen, die im zweiten
Arbeitsbereich geöffnet wird und als Kopiervorlage dient.