FUNKTIONALE SICHERHEIT NACH ISO/DIS 26262

Transkript

1 FUNKTIONALE SICHERHEIT NACH ISO/DIS DGQ-Regionalkreis Karlsruhe - Pforzheim - Gaggenau, Dr.-Ing. Alexander Schloske Abteilungsleiter Produkt- und Qualitätsmanagement Telefon: +49(0)711/ Fax: +49(0)711/ Internet: alexander.schloske@ipa.fraunhofer.de /08

2 Vorstellung Die Fraunhofer-Gesellschaft Rostock Bremen Dortmund Hannover Berlin Dresden Darmstadt Saarbrücken Karlsruhe Stuttgart München Freiburg 57 Institute an rund 40 Standorten Mitarbeiter 1,6 Mrd. Budget

3 Vorstellung Das Fraunhofer-Institut für Produktionstechnik und Automatisierung (IPA), Stuttgart Institutsleitung: Prof. Dr.-Ing. Engelbert Westkämper Prof. Dr.-Ing. Alexander Verl Unternehmensorganisation Digitale Fabrik Dr.-Ing. Carmen Constantinescu Produkt- und Qualitätsmanagement Dr.-Ing. Alexander Schloske Fabrikplanung und Produktionsoptimierung Dipl.-Ing. Michael Lickefett Unternehmenslogistik und Auftragsmanagement Dipl. oec. soc. Anja Schatz Refabrikation Prof. Dr.-Ing. Rolf Steinhilper Automatisierung Robotersysteme Dipl.-Ing. Martin Hägele M.S. Orthopädie und Bewegungssysteme Dr. med. Urs Schneider Produktions- und Prozessautomatisierung Dr.-Ing. Jan Stallkamp Reinst- und Mikroproduktion Dr.-Ing. Dipl.-Phys. Udo Gommel Technische Informationsverarbeitung Dipl.-Inf. Markus Hüttel Prüfsysteme Dipl.-Ing. Joachim Montnacher Oberflächentechnik Lackiertechnik Dipl.-Ing. Dieter Ondratschek Prozessengineering funktionaler Materialien Dipl.-Ing. (FH) Ivica Kolaric, MBA Schichttechnik Dr.-Ing. Martin Metzner Pigmente und Lacke Dr.-Ing. Michael Hilt Anwendungszentrum Rostock Projektgruppe Bayreuth Fraunhofer Research Austria Projektgruppe Zilina

4 Vorstellung Vernetzung von Wissenschaft und Praxis Lehre Forschung Entwicklung Realisierung Anwendung

5 Vorstellung Die Abteilung Produkt- und Qualitätsmanagement Thematische Ausrichtung Entwicklung von Life-Cycle-Konzepten und Life-Cycle- Methoden zur Optimierung von Produkten und Prozessen Optimierungsziele Qualität, Kosten, Umwelt / Energie, Zeit Themenschwerpunkte Produktentwicklung Prozessoptimierung Risikomanagement Green Manufacturing

6 Highlight-Themen Absicherung einer Sicherheitslogik im automotive Umfeld 1965 Aufgabenstellung: Absicherung einer Sicherheitslogik für ein innovatives System in der Automobilindustrie Sicherstellung der Funktionalen Sicherheit nach IEC und ISO/CD xx? Projektvorgehensweise: Durchführung von Gefahren- und System- Risikoanalysen Definition von Softwarerequirements für die Steuerung Erarbeitung von Testplänen und Testszenarien Fahrzeug zufällig gewählt! Projektkenndaten: Projektlaufzeit: ca. 12 Monate Bildquelle:

7 Funktionale Sicherheit Beispiele zur Funktionalen Sicherheit Beispiele aus der Realität: Renault ruft 2010 weltweit Scénic zurück Bei diesem Modell kann es laut Renault zu einem unbeabsichtigten Anziehen der automatischen Parkbremse während der Fahrt kommen. Quelle: Toyota ruft Autos zurück Rückrufaktion auf Grund der Möglichkeit, dass während der Fahrt das Lenkradschloss selbsttätig einrastet. Damit ist das Lenken des Fahrzeugs nicht mehr möglich. Quelle: Quelle:

8 Funktionale Sicherheit Beispiele zur Funktionalen Sicherheit Beispiele aus der Realität: Volvo-City- Safety versagt 2010 bei Pressevorführung Das City-Safety-System soll Hindernisse wie Gegenstände auf der Straße oder Fußgänger erkennen und automatisch das Auto abbremsen, um einen Zusammenstoß zu verhindern. Wie der Autohersteller später angab, war eine nicht funktionierende Batterie schuld am Ausfall des Systems. Quelle:

9 Vortragsinhalte Aufbau und Anwendung der ISO Grundlegende Begriffe und Verfahren Gefahren- und Risikoanalyse Risikographen zur ASIL-Klassifizierung Failure Modes und Hardware Metriken

10 ENTWICKLUNG UND NORMEN ZUR FUNKTIONALEN SICHERHEIT

11 Funktionale Sicherheit Ursprung der Funktionalen Sicherheit Chemieunfall in Seveso, Italien 1976: Hochgiftiges Dioxin mit katastrophalen Folgen für Menschen, Tierwelt und Natur ausgetreten Unkontrollierte Reaktion führte zur Überhitzung Automatische Kühlsysteme und Warnanlagen waren nicht vorhanden Unglück löste Normungsbestrebungen für funktionale Sicherheit aus: IEC (allgemein) 1998/2000 ISO (automotive) 05/2011 (geplant)

12 Funktionale Sicherheit Normenlandschaft derzeitig: IEC elektrische, elektronische und programmierbare elektronische Geräte DIN IEC DIN IEC DIN IEC DIN EN 501xx DIN EC (weitere) Kernkraftwerke Medizingeräte Prozessindustrie Bahnsektor Maschinen künftig: ISO/DIS (Erscheinung Mitte 2011) (Draft International Standard) Automotive Personenkraftwagen (PKW bis 3,5t) (weitere)

13 Funktionale Sicherheit Scope der ISO/DIS Geltungsbereich der ISO/DIS PKW bis 3,5 Tonnen Elektrische und elektronische Systeme (E/E-Systeme) PKWs, die in Serie produziert werden Nicht gültig (weiterhin Geltungsbereich der IEC 61508) Sonderfahrzeuge (Fahrzeuge für Personen mit Behinderungen) LKW, Pick-ups, Kleintransporter, Motorräder, Programmierbare elektronische Systeme (PE-Systeme)

14 DEFINITION UND ZIELSETZUNG DER FUNKTIONALEN SICHERHEIT

15 Funktionale Sicherheit Definition Funktionale Sicherheit ist die Fähigkeit eines elektrischen oder elektronischen Systems (E/E-System), beim Auftreten systematischer Ausfälle (z.b. fehlerhafte Systemauslegung) zufälliger Ausfälle (z.b. Alterung von Bauteilen) mit gefahrbringender Wirkung, einen sicheren Zustand einzunehmen bzw. im sicheren Zustand zu bleiben.

16 Funktionale Sicherheit Begriffe der funktionalen Sicherheit Sicherheitsfunktion bzw. Funktionale Sicherheitsanforderung Funktion eines sicherheitsbezogenen Systems, um im Gefahrfall einen Zustand mit tolerierbarem Restrisiko einzunehmen / aufrecht zu erhalten Sicherheitsintegrität Wahrscheinlichkeit, dass ein sicherheitsbezogenes System die geforderten Sicherheitsfunktionen unter allen festgelegten Bedingungen innerhalb eines festgelegten Zeitraums anforderungsgemäß ausführt Sicherheits-Integritätslevel (A)SIL vier diskrete Stufen zur Festlegung von Anforderungen für die Sicherheitsintegrität der Sicherheitsfunktionen SIL1 bis SIL4 bei IEC ASIL A bis ASIL D bei ISO/DIS 26262

17 Funktionalen Sicherheit Grundprinzip Risikominderung

18 Funktionalen Sicherheit Anforderungen der Norm(en) Die Normen (z.b. ISO/DIS 26262) zur Funktionalen Sicherheit fordern Maßnahmen zum Management der funktionalen Sicherheit Maßnahmen gegen systematische Ausfälle Maßnahmen gegen zufällige Hardwareausfälle Maßnahmen zur Beurteilung der funktionalen Sicherheit

19 Funktionale Sicherheit Erfüllung der Anforderungen Anforderungen IEC / ISO DIS Anforderungen CMMI / SPICE Risikoanalyse Architektur CMMI / SPICE Funktionale Sicherheitsanforderungen Integrität (SIL / ASIL) Projektmanagement, Konfigurationsmanagement,,... Management des Sicherheitslebenszyklus Quelle: nach Löw, Pabst, Petry (2010)

20 AUFBAU UND INHALTE DER ISO/DIS 26262

21 Funktionale Sicherheit Aufbau der ISO/DIS (insgesamt 381 Seiten) 1. Glossar 2. Management der funktionalen Sicherheit 3. Konzeptphase 4. Produktentwicklung: Systemebene 5. Produktentwicklung: Hardwareebene 6. Produktentwicklung: Softwareebene 7. Produktion und Betrieb 8. Unterstützende Prozesse 9. ASIL- und sicherheitsorientierte Analysen 10. Orientierungshilfen Quelle: ISO/DIS 26262

22 Funktionale Sicherheit Aufbau der Einzelnormen der ISO/DIS # 1. Scope 2. Normative reference 3. Terms, definitions, abbreviated terms 4. Requirements for compliance 5. Content - Objectivess - General - Inputs for this clause - Requirements and recommendations - Work products 6. Annex (informative) 7. Bibliography Quelle: ISO/DIS 26262

23 Funktionale Sicherheit Anforderungen an compliance (Kapitel 4 in ISO #) 4.1 Allgemeine Anforderungen Geplante Anpassungen Begründungen bei Abweichungen 4.2 Interpretation der Tabellen ++ Methode für ASIL stark empfohlen + 0 Methode für ASIL empfohlen Keine Aussage (für / wider) zur Methode 4.3 ASIL-abhängige Anforderungen und Empfehlungen ASIL (ASIL) Anwendung Empfehlung Quelle: ISO/DIS

24 Funktionale Sicherheit Lebenszyklusmodell der ISO/DIS Quelle: ISO/DIS 26262

25 Funktionale Sicherheit Lebenszyklusmodell der ISO/DIS (vereinfacht) 1. Vocabulary 2. Management of functional safety 4. Product development system level 3. Concept 7. Production phase 5. Product 6. Product and operation development development hardware software level level 8. Supporting processes 9. ASIL-oriented and safety-oriented analyses 10. Guideline on ISO (informative) Quelle: ISO/DIS 26262

26 Funktionale Sicherheit Management der Funktionalen Sicherheit (Safety plan) Der Safety-Plan enthält die zur Sicherstellung der Funktionalen Sicherheit erforderliche Aufbau- und Ablaufplanung (Phasen, Meilensteine, Verantwortlichkeiten, Dokumente) hinsichtlich: Strategien und Aktivitäten Schnittstellenabstimmung mit Lieferanten Unterstützende Prozesse Gefahren- und Risikoanalyse Entwicklung und Umsetzung der Sicherheitsanforderungen Sicherheitsanalysen Verifikation und Validation Dokumentation der durchgeführten Maßnahmen Unabhängigkeit der Bestätigung der durchgeführten Maßnahmen

27 Funktionale Sicherheit Sicherheits-Lebenszyklus (safety lifecycle) Item definition Initiation of the safety lifecycle Hazard analysis and risk assessment Functional safety concept Concept phase Production planning Operation planning Hardware level Product development System level 6 Software level Release for production Other technologies Controllability External measures Product development Production Operation, service and decommissioning Back to appropiate lifecycle phase After SOP Quelle: ISO/DIS

28 Funktionale Sicherheit Anforderungen der ISO Produktentwicklung auf Systemebene 4 Product development at system level Initiation of product development on system level Spezification of the technical safety requirements 4-7 System design 5 Product development at Hardware level 6 Product development at Software level 4-8 Item integration and testing 4-9 Safety validation 4-10 Functional safety assessment 4-11 Release for production Quelle: ISO/DIS

29 Funktionale Sicherheit Anforderungen der ISO Produktentwicklung auf Hardwareebene 4-7 System design 5 Product development at hardware level 5-5 Initiation of product development at hardware level 5-6 Specification of hardware safety requirements 5-7 Hardware design 5-7 Production and operation 5-8 Hardware architectural metric 5-9 Evaluation of violation of safety goal due to random HW failures 8-13 Qualification of hardware components 5-10 Hardware integration and testing 4-8 Item integration and testing Quelle: ISO/DIS

30 Funktionale Sicherheit ISO , Annex C Zufällige Hardwarefehler Single point fault (SPF) Abweichung, die durch keinen Sicherheitsmechanismus abgedeckt ist und sofort zur Verletzung eines Sicherheitsziels führt Residual fault (RF) Teil einer Abweichung, der nicht durch einen Sicherheitsmechanismus abgedeckt wird und welcher zur Verletzung eines Sicherheitsziels führt Multiple point fault (MPF) Abweichung unter mehreren unabhängigen Abweichungen, welcher in Kombination zu einem Mehrfachfehler führt Perceived (MPF P) bemerkt Detected (MPF D) entdeckt Latent (MPF L) schlafend Quelle: ISO/DIS

31 Funktionale Sicherheit Fault-Metriken und gefahrbringende Ausfälle ISO , Annex E und G, Zielwerte ASIL SPFM LFM PFH = λ SPF + λ RF + λ LMPF A - - B 90% 60% C 97% 80% D 99% 90% PFH: Probability of dangerous failure per hour LFM: Latent Faults Metric SPFM: Single Point Faults Metric MPF: Multiple Point Fault S: Safe ASIL PFH A < 10-6 B < 10-7 C < 10-7 D < 10-8

32 Funktionale Sicherheit ISO , Annex D (informative) Ermittlung von Diagnosedeckungsgraden (DC) Ermittlung und Realisierung der Diagnosedeckungsgrade kann auf Basis von Empfehlungen der ISO/DIS , Annex D (Tabelle 1-12 und Erläuterung D 2.1-D 2.11) erfolgen (z.b. ROM und Block replication) Quelle: ISO/DIS

33 Funktionale Sicherheit Ermittlung der Fehlermodi und Fehlerraten von Systemelementen Ermittlung der Fehlermodi und FIT-Werte von Systemelementen: Literatur zur Zuverlässigkeit (z.b. Birolini) Firmennormen (z.b. SN 29500) Zuverlässigkeitshandbücher (z.b. MIL-Handbook 217) Datenblätter Felderfahrungswerte

34 Funktionale Sicherheit Ermittlung der Fehlermodi und Fehlerraten von Systemelementen Fehlermodi für Widerstände aus Birolini: Open = 40% Drift = 60% Quellen: SN (2004) Birolini (2007)

35 Funktionale Sicherheit Ermittlung der Fehlerraten komplexer Systemelemente Verfahren zur Aufteilung von FIT-Werten bei komplexen Bauteilen: 50/50-Aufteilung Aufteilung auf Funktionsgruppen Aufteilung nach Chipflächen Aufteilung nach Empfehlungen (z.b. Birolini, SN 29500) Bildquelle:

36 Funktionale Sicherheit Anforderungen der ISO Produktentwicklung auf Softwareebene 4-7 System design Item testing Test phase verification 4-8 Item integration and testing Design phase verification 6-6 Specification of software safety requirements Software testing Test phase verification 6-11 Verification of software safety requirements Design phase verification 6-7 Software architectural design Software testing Test phase verification 6-10 Software integration and testing Design phase verification 6-8 Software unit design and implementation Software testing Test phase verification 6-9 Software unit testing Quelle: ISO/DIS

37 METHODEN ZUR ANALYSE MECHATRONISCHER SYSTEME

38 Methoden zur Analyse mechatronischer Systeme Methoden zur SIL-Klassifizierung Gefahren- und Risikoanalyse Risikograph Methoden zur Analyse systematischer Fehler Fehlermöglichkeits- und Einflussanalyse (FMEA) Fehlerbasierte System-Reaktionsanalyse (FSR) Methoden zur Analyse zufälliger Fehler Fehlermöglichkeits-, Einfluss- und Diagnoseanalyse (FMEDA)

39 Gefahren- und Risikoanalyse Zielsetzung: Systematische Ermittlung potentieller Gefahrenund Risiken des Systems Methodisches Vorgehen: Definition der Hauptfunktionen des Systems Ermittlung der potentiellen Fehlfunktionen Ermittlung der Gefahren und Risiken Nutzen/Anmerkung: Frühzeitige Durchführung Betrachtung unabhängig vom Sicherheitskonzept (Grundlage für Sicherheitskonzept) Voraussetzung zur (A)SIL-Einstufung

40 Risikograph zur ASIL-Klassifizierung nach ISO/DIS Sev verity S Exposure E C0 C1 C2 C3 S0 E0 E4 QM QM QM QM S1 S2 S3 Controllability C E0 QM QM QM QM E1 QM QM QM QM E2 QM QM QM QM E3 QM QM QM A E4 QM QM A B E0 QM QM QM QM E1 QM QM QM QM E2 QM QM QM A E3 QM QM A B E4 QM A B C E0 QM QM QM QM E1 QM QM QM A E2 QM QM A B E3 QM A B C E4 QM B C D [nach ISO DIS 26262] Zielsetzung: Systematische Ermittlung des ASIL-Levels auf Basis der Gefahren- und Risikoanalyse Methodisches Vorgehen: Bestimmung des ASIL-Levels anhand der Schwere (Severity) der Häufigkeit des Ausgesetztseins (Exposure) der Beherrschbarkeit (Controllability) Nutzen/Anmerkung: Systematisches und nachvollziehbares Vorgehen

41 Gefahren- und Riskoanalyse Risikograph zur ASIL-Klassifizierung nach ISO/DIS Severity S Exposure E Controllability C C0 C1 C2 C3 S0 E0 E4 QM QM QM QM S1 S2 S3 E0 QM QM QM QM E1 QM QM QM QM E2 QM QM QM QM E3 QM QM QM A E4 QM QM A B E0 QM QM QM QM E1 QM QM QM QM E2 QM QM QM A E3 QM QM A B E4 QM A B C E0 QM QM QM QM E1 QM QM QM A E2 QM QM A B E3 QM A B C E4 QM B C D [nach ISO/DIS 26262] Schwere (Severity) S0: keine Verletzungsgefahr S1: geringe und mäßige Verletzungen S2: ernste und möglicherweise tödliche Verletzungen S3: schwere und wahrscheinlich tödliche Verletzungen Häufigkeit des Ausgesetztseins (Exposure) E1: selten: Situation tritt für die meisten Fahrer seltener als einmal pro Jahr auf E2: gelegentlich: Situation tritt für die meisten Fahrer wenige Male pro Jahr auf E3: ziemlich oft: Situation tritt für Durchschnittsfahrer einmal im Monat oder öfter auf E4: oft: Situation die bei nahezu jeder Fahrt auftritt Beherrschbarkeit (Controllability) C1: einfach beherrschbar: mehr als 99% der Fahrer oder der anderen Verkehrsteilnehmer können den Schaden üblicherweise abwenden C2: durchschnittlich beherrschbar : mehr als 90% der Fahrer oder der anderen Verkehrsteilnehmer können den Schaden üblicherweise abwenden C3: schwierig oder gar nicht beherrschbar : weniger als 90% der Fahrer oder der anderen Verkehrsteilnehmer können den Schaden üblicherweise abwenden

42 Fehlermöglichkeits- und Einflussanalyse (FMEA) Zielsetzung: Systematische Ermittlung potentieller Fehlfunktionen für die Komponenten des Systems Methode nach VDA 4 Kapitel 3 (2006): 1: Strukturanalyse (Strukturbaum) 2: Funktionsanalyse (Funktionsnetze) 3: Fehleranalyse (Fehlernetze) 4: Maßnahmenanalyse und Bewertung 5: Optimierung (falls notwendig) Nutzen/Anmerkung: Detaillierte Übersicht über Fehlfunktionen Maßnahmenplan für sichere Systemauslegung Präzise Benennung der Fehlfunktionen

43 Mögliche Systemstruktur eines mechatronischen Systems

44 Mögliche Maßnahmenstruktur eines mechatronischen Systems Maßnahmen zur Vermeidung in der Entwicklung Maßnahmen zur Entdeckung in der Entwicklung Software-Requirements zur Überführung in sicheren Zustand Maßnahmen zum Test der korrekten Software-Funktion Maßnahmen zur Entdeckung im Gesamtsystem Maßnahmen zur Entdeckung im Service Maßnahmen zur Entdeckung im Betrieb

45 Analyse und Bewertung von Fehlfunktionen, Fehlererkennungen und Fehlerreaktionen im Betrieb Quelle: Workshop B, XVI.-APIS-Benutzertreffen (2010)

46 Analyse und Bewertung von Fehlfunktionen, Fehlererkennungen und Fehlerreaktionen im Betrieb Quelle: Workshop B, XVI.-APIS-Benutzertreffen (2010)

47 Analyse und Bewertung von Fehlfunktionen, Fehlererkennungen und Fehlerreaktionen im Betrieb Häufigkeit A 2. Fehlerreaktion A=1 1. Fehlererkennung Schadensausmaß B

48 Fehlerbasierte System-Reaktionsanalyse (FSR) Zielsetzung: Analyse der Diagnose- und Absicherungsmaßnahmen auf systematische Fehler Methode: Übernahme der Fehlfunktionen aus der System- FMEA für alle beteiligten Komponenten Bewertung der Entdeckbarkeit von Ausfallarten unter Berücksichtigung von nutzerbedingten Interaktionen und Systemzuständen Nutzen/Anmerkung: Hinweise auf schlafende Fehler im System Kompakte Darstellung komplexer Systeme

49 Failure Modes, Effects and Diagnostic Analysis (FMEDA) Komponenten der Sicherheitsfunktion FMEDA Zielsetzung: Analyse der Fehlermodi der an der Sicherheitsfunktion beteiligten Komponenten Methode: Auflistung aller Fehlerarten der an der Sicherheitsfunktion beteiligten Komponenten Bewertung der Abweichungen/Ausfälle Ermittlung der Fehlerraten Nutzen/Anmerkung: Tabellarisches Verfahren zur Vorbereitung der Berechnung der FuSi-Parameter (z.b. PFH, Fault- Metriken)

50 AUSLEGUNG / ABSICHERUNG MECHATRONISCHER SYSTEME

51 Auslegung und Absicherung von mechatronischen Systemen Konzept Gesamtsystemkonzept (System + Diagnose) Systemkonzept Diagnosekonzept Analyse Gefahren- und Risikoanalyse, SIL-Einstufung System-FMEA - Systemkonzept - Diagnosekonzept FME(D)A / IEC-Par. Fehlerbasierte System-Reaktionsanalyse (FSR) Test Testplan für Gesamtsystem - Hardware (Zuverlässigkeit) - Software (korrekte Funktion) - Betrieb (sichere Information) Betrieb Ergänzende Informationen - Betrieb - Service

52 Unterstützung der Analysen zur Funktionalen Sicherheit G- u. R.-Analyse System-FMEA K-FMEA Entwicklung des Sicherheitskonzeptes Entwicklung des Zuverlässigkeitskonzeptes + SIL-Parameter SIL-Klassifizierung Sicherheitsfunktion Risikograph IEC ISO DIS FSR - System - Diagnose FMEDA und Berechnungsverfahren + SIL-Klassen Vorgabe-Werte f(hwft) - Fault-Metrik-Bereiche - PFH-Bereiche Systemkonzept (HWFT) Diagnosekonzept Testplan Wartungsplan Betriebsanleitung Diagnosekonzept Testplan Ist-Werte - DC - PFH - Fault-Metrik Vergleich ( Vorgabe <-> Ist ) APIS IQ-RM-X 6.0

53 Zusammenhang zwischen den eingesetzten Methoden Komponenten Funktionen Systemarchitektur und Funktionsblock-Diagramm Bauteilinformationen (z.b. SN 29500) Failure Modes FIT-Werte Komplexe Fehlerfälle Fehlerbasierte Systemreaktions- Analyse (FSR) Software- Konzepte und Algorithmen DC SIL 2 Einfache Fehlerfälle FMEA Software- Konzepte und Algorithmen DC FuSi-Parameter: Fault-Metriken und PFH-Werte FMEDA und Berechnungsverfahren

54 ERLÄUTERUNG ANHAND EINES BEISPIELSYSTEMS

55 Beispielsystem (Fahrzeug zufällig gewählt) Quelle: Quelle: xx?

56 Gefahren- und Risikoanalyse Hauptfunktion Hauptfehlfunktion

57 Möglicher Risikograph gemäß ISO DIS Fehlfunktionen und Auswirkungen aus der Gefahren- und Risikoanalyse Fahrzeug Geöffnete Fahrzeugtüre verletzt Passanten am Straßenrand Portaltüre Fondtüre lässt sich bei v > 4 km/h von innen öffnen C0 C1 C2 C3 S0 E0 E4 QM QM QM QM E0 QM QM QM QM E1 QM QM QM QM S1 E2 QM QM QM QM E3 QM QM QM A E4 QM QM A B E0 QM QM QM QM E1 QM QM QM QM S2 E2 QM QM QM A E3 QM QM A B E4 QM A B C E0 QM QM QM QM E1 QM QM QM A S3 E2 QM QM A B E3 QM A B C E4 QM B C D Severity S: S2: Schwere Verletzungen, lebensbedrohlich, Überleben wahrscheinlich Exposure E: E4: hohes bzw. ständiges Auftreten Controllability C: C2: durchschnittlich kontrollierbar: mehr als 90% der Fahrer bzw. Verkehrsteilnehmer können den Schaden üblicherweise abwenden ASIL B PFH < 10-7

58 Gefahren- und Risikoanalyse

59 ANALYSE SYSTEMATISCHER FEHLER

60 Mögliche Systemstruktur einer Portaltüre Diagnosesystem (Sensorik) Systemkomponente (Aktorik) Informationsschnittstelle (Input)

61 Mögliches Funktionsnetz einer Portaltüre Funktion an Systemkomponente (Aktorik) Funktion an der Informationsschnittstelle (Input) Hauptfunktion des Systems Funktion am Diagnosesystem (Sensorik)

62 Mögliches Fehlernetz einer Portaltüre Fehlfunktion an Systemkomponente (Aktorik) ASIL B bzw. SIL2 Fehlfunktion des System Fehlfunktion an der Informationsschnittstelle (Input) Fehlfunktion am Diagnosesystem (Sensorik)

63 Mögliches Fehlernetz einer Portaltüre Fehlfunktion an der Informationsschnittstelle (Input) ASIL B bzw. SIL2 Fehlfunktion des System

64 Mögliches Formblatt einer Portaltüre Sichere Verriegelung bei Fehlfunktion an der Informationsschnittstelle (Input) und sichere Information des Fahrers.

65 Mögliches Formblatt einer Portaltüre Überprüfung auf der Test Bench, ob die Software beim Auftreten der Fehlfunktion korrekt reagiert.

66 Mögliches Fehlernetz einer Portaltüre ASIL B bzw. SIL2 Fehlfunktion des System Fehlfunktion am Diagnosesystem (Sensorik)

67 Mögliches Formblatt einer Portaltüre Keine Erkennung der Fehlfunktion an der Sensorik im Betrieb und keine Information des Fahrers

68 Mögliche FSR eines Diagnosesystems der Portaltüre

69 Mögliches Formblatt einer Portaltüre Sichere Fehlererkennung an der Sensorik bei Zündung an und Information des Fahrers Keine Erkennung der Fehlfunktion an der Sensorik im Betrieb und keine Information des Fahrers

70 Mögliche FSR eines Diagnosesystems der Portaltüre

71 Mögliches Formblatt einer Portaltüre Sichere Fehlererkennung an der Sensorik im Betrieb und Information des Fahrers

72 Mögliche FSR eines Diagnosesystems der Portaltüre

73 Mögliches Formblatt einer Portaltüre Nachweis erbracht! Sichere Fehlererkennung an der Sensorik im Betrieb und Information des Fahrers

74 Fehlererkennung / Fehlerreaktion im System Portaltüre 2. Fehlerreaktion 1. Fehlererkennung

75 ANALYSE ZUFÄLLIGER FEHLER

76 FuSi-Kennwerte anhand von Fehlernetzen und Ausfallraten bis auf die Ebene der elektr(on)ischen Bauteile FIT = Failure in Time Ausfallrate technischer Komponenten (Anzahl der Bauteile, welche in 10 9 Stunden ausfallen). 1 FIT = 1 Ausfall in ca Jahren λ_open = 0,05 FIT λ_short = 0,02 FIT λ_drift = 0,03 FIT Portaltüre FuSi-Kennwerte

77 Fault-Klassifizierung Fault Ist die Komponente an einer sicherheitsbezogenen Funktion beteiligt? N Unberücksichtigter Safe Fault J Kann der Defekt in Abwesenheit von Sicherheitsmechanismen das Sicherheitsziel verletzen? J N Ist ein Sicherheitsmechanismus implementiert, der eine Verletzung des Sicherheitsziels verhindert? Kann der Defekt mit einem weiteren unabhängigen Defekt in einer anderen Komponente zu einer Verletzung des Sicherheitsziels führen? N J N Gibt es Sicherheitsmechanismen, die andere Fehler der gleichen Komponente abfangen? N Safe Fault Single Point Fault J J Residual Fault Multiple Point Fault Wird der Defekt entdeckt? J Detected Multiple Point Fault N Wird der Defekt vom Fahrer wahrgenommen? N Latent Multiple Point Fault J Perceived Multiple Point Fault

78 Potentielle Fehlfunktionen der Komponenten FMEDA FIT DC 1 (%) Safe Fault Single Point Fault Residual Fault Multiple Point Fault Systemkomponenten (10-9 ) Detected Latent Preceived Spannungsversorgung µc 100,00 40,00 0,00 16,04 43,80 0,08 0,08 Quarz 5,00 0,00 0,00 4,46 0,50 0,02 0,02 Relais 300,00 224,78 0,30 0,00 74,18 0,37 0,37 Taster 40,00 19,80 0,40 0,00 0,00 9,90 9,90 HW-Watchdog 10,00 0,00 0,00 0,00 0,10 9,85 0,05 µc 25,00 12,50 12,38 0,00 0,00 0,06 0,06 µc-rom 25,00 0,00 0,00 0,00 24,75 0,25 0,00 µc-ram 25,00 12,50 0,00 0,00 12,38 0,12 0,00 µc-i/o 25,00 12,50 12,38 0,00 0,00 0,06 0,06 µc-watchdog 25,00 0,00 0,00 0,00 0,00 25,00 0,00 Summe 580,00 322,08 25,45 20,49 155,70 45,73 10,55 Gefahrbringende Ausfälle/Stunde 91,67 Single Point Fault Metric 92,1% Latent Fault Metric 91,4% < 10-7 (erfüllt) 90% (erfüllt) 60% (erfüllt) DC 2 (%)

79 FAZIT

80 Fazit Bewertung Funktionale Sicherheit stellt eine neue Herausforderung an das technische Risikomanagement dar (von Industrie geschätzter Mehraufwand 10-20%) Voraussetzungen zur Sicherstellung der funktionalen Sicherheit sind Funktionierende Managementsysteme (z.b. TS 16949, SPICE, CMMI) Organisatorische Erweiterungen für das Safety Management entsprechend den Anforderungen der IEC bzw. ISO/DIS Detaillierte und präzise Systemanalysen durch den OEM sowie effektives Schnittstellenmanagement/Kommunikation mit den Lieferanten Integrierte Anwendung vorhandener technischer Risikoanalysen Kritische Betrachtung der Risiken unabhängig von Zahlenwerten

81 Funktionale Sicherheit Literaturempfehlung

82 No risk no fun! Vielen Dank für Ihre Aufmerksamkeit! Bildquelle: