Read Folie 1 text version

FUNKTIONALE SICHERHEIT NACH ISO 26262 SOWIE DEREN PRAKTISCHE UMSETUNG

DGQ-Regionalkreis Hamburg 12.09.2011, Hamburg

Dipl.-Ing. Chris toph Maier Wiss. Mitarbeiter Produkt- und Qualitätsmanagement Telefon: Fax: E-Mail: Internet: +49(0)711/9 70-1741 +49(0)711/9 70-1002 [email protected] www.ipa.fraunhofer.de

1

© Fraunhofer IPA

Vorstellung Das Fraunhofer-Institutszentrum Stuttgart (IZS)

2 © Fraunhofer IPA

Vorstellung Das Fraunhofer-Institut für Produktionstechnik und Automatisierung (IPA), Stuttgart

Institutsleitung:

Unternehmensorganisation Digitale Fabrik Dr.-Ing. Carmen Constantinescu Produkt- und Qualitätsmanagement Dr.-Ing. Alexander Schloske Fabrikplanung und Produktionsoptimierung Dipl.-Ing. Michael Lickefett Unternehmenslogistik und Auftragsmanagement Dipl. oec. soc. Anja Schatz Refabrikation Prof. Dr.-Ing. Rolf Steinhilper

Prof. Dr.-Ing. Thomas Bauernhansl Prof. Dr.-Ing. Alexander Verl

Automatisierung Robotersysteme Dipl.-Ing. Martin Hägele M.S. Orthopädie und Bewegungssysteme Dr. med. Urs Schneider Produktions- und Prozessautomatisierung Dr.-Ing. Jan Stallkamp Reinst- und Mikroproduktion Dr.-Ing. Dipl.-Phys. Udo Gommel Technische Informationsverarbeitung Dipl.-Inf. Markus Hüttel Prüfsysteme Dipl.-Ing. Joachim Montnacher Generative Fertigung und Digitale Drucktechnik Dipl.-Ing. Andrzej Grzesiak Oberflächentechnik Lackiertechnik Dipl.-Ing. Dieter Ondratschek Lacke und Pigmente Dr.-Ing. Michael Hilt Prozessengineering funktionaler Materialien Dipl.-Ing. (FH) Ivica Kolaric, MBA Schichttechnik Dr.-Ing. Martin Metzner Anwendungszentrum Rostock Projektgruppe Bayreuth Fraunhofer Research Austria Projektgruppe Zilina Projektcenter PMI Budapest

3

© Fraunhofer IPA

Vorstellung Vernetzung von Wissenschaft und Praxis

Lehre

Forschung

Entwicklung

Realisierung

Anwendung

4 © Fraunhofer IPA

Beispielprojekt zur Funktionalen Sicherheit Absicherung einer Sicherheitslogik im automotive Umfeld

Aufgabenstellung: Absicherung einer Sicherheitslogik für ein innovatives System in der Automobilindustrie

1965

Sicherstellung der ,,Funktionalen Sicherheit" nach IEC 61508 und ISO 26262

Tätigkeiten des IPA:

2010

Durchführung von System-Risikoanalysen

Definition von Software-Requirements Erarbeitung von Testplänen und Testszenarien

Bildquelle: http://www.autobild.de//artikel/opel-meriva-2010-_1030625.html

5 © Fraunhofer IPA

EINFÜHRUNG

6 © Fraunhofer IPA

Funktionale Sicherheit Beispiele zur Funktionalen Sicherheit

Renault ruft 2010 weltweit 695.000 Scénic zurück

Bei diesem Modell kann es laut Renault zu einem unbeabsichtigten Anziehen der automatischen Parkbremse während der Fahrt kommen.

Quelle: www.welt.de

Toyota ruft 2010 373.000 Autos zurück Rückrufaktion auf Grund der Möglichkeit, dass während der Fahrt das Lenkradschloss selbsttätig einrastet.

Quelle: http://www.auto-motor-und-sport.de/

Quelle: www.motor-talk.de/

7 © Fraunhofer IPA

,,Volvo-City- Safety" - Pressevorführung

8 © Fraunhofer IPA

Funktionale Sicherheit Vortragsinhalte

Grundlagen der Funktionalen Sicherheit

Aufbau der ISO 26262

Methoden und Werkzeuge zur Sicherstellung der Funktionalen Sicherheit Beispiele

9 © Fraunhofer IPA

GRUNDLAGEN DER FUNKTIONALEN SICHERHEIT

10 © Fraunhofer IPA

Funktionale Sicherheit Ursprung der Funktionalen Sicherheit

Chemieunfall in Seveso, Italien 1976: Hochgiftiges Dioxin mit katastrophalen Folgen für Menschen, Tierwelt und Natur ausgetreten Unkontrollierte Reaktion führte zur Überhitzung

Automatische Kühlsysteme und Warnanlagen waren nicht vorhanden

Unglück löste Normungsbestrebungen für funktionale Sicherheit aus: IEC 61508 (allgemein) ISO 26262 (automotive)

11 © Fraunhofer IPA

Funktionale Sicherheit Normenlandschaft

derzeitig:

IEC 61508

elektrische, elektronische und programmierbare elektronische Geräte

DIN IEC 61513 Kernkraftwerke

DIN IEC 60601 Medizingeräte

DIN IEC 61511 Prozessindustrie

DIN EN 501x x Bahnsektor

DIN EC 62061 Maschinen

( w eitere ) ...

künftig: IS O 26262 (Ers cheinung 06/2011) Automotive (in Serie produzierte PKW bis 3,5t)

12 © Fraunhofer IPA

Funktionale Sicherheit nach ISO 26262 Definition

Funktionale Sicherheit ist die Fähigkeit eines elektrischen, elektronischen Systems (E/E-System), beim Auftreten s y s tem atis cher Ausfälle (z.B. fehlerhafte Systemauslegung) zufälliger Ausfälle (z.B. Alterung von Bauteilen) mit gefahrbringender Wirkung, einen sicheren Zustand einzunehmen bzw. im sicheren Zustand zu bleiben Die Norm zur Funktionalen Sicherheit fordert: Maßnahmen zum Management der Funktionalen Sicherheit Maßnahmen gegen s y s tem atis che Ausfälle Maßnahmen gegen zufällige Hardwareausfälle Maßnahmen zur Beurteilung der Funktionalen Sicherheit

13 © Fraunhofer IPA

Funktionale Sicherheit Begriffe

Sicherheitsfunktion bzw. funktionale Sicherheitsanforderung

Funktion eines sicherheitsbezogenen Systems, um im Gefahrfall einen Zustand mit tolerierbarem Restrisiko einzunehmen / aufrecht zu erhalten

Sicherheitsintegrität Wahrscheinlichkeit, dass ein sicherheitsbezogenes System die geforderten Sicherheitsfunktionen unter allen festgelegten Bedingungen anforderungsgemäß ausführt Automotive Sicherheits-Integritätslevel (ASIL) Vier diskrete Stufen zur Festlegung von Anforderungen für die Sicherheitsintegrität der Sicherheitsfunktionen ASIL A bis ASIL D

14 © Fraunhofer IPA

Funktionale Sicherheit Grundprinzip ,,Risikominderung"

15 © Fraunhofer IPA

AUFBAU DER ISO 26262

16 © Fraunhofer IPA

ISO/DIS 26262 Aufbau der ISO/DIS 26262

1. Glossar

2. Management der Funktionalen Sicherheit

3. Konzeptphase 4. Produktentwicklung: Systemebene 5. Produktentwicklung: Hardwareebene 6. Produktentwicklung: Softwareebene 7. Produktion und Betrieb 8. Unterstützende Prozesse 9. ASIL- und sicherheitsorientierte Analysen

(insgesamt 381 Seiten)

10. Orientierungshilfen

Quelle: ISO/DIS 26262 17

© Fraunhofer IPA

ISO/DIS 26262 Aufbau der Einzelnormen der ISO/DIS 26262-#

1. Scope

2. Normative reference

3. Terms, definitions, abbreviated terms 4. Requirements for compliance 5. Content - Objectivess - General - Inputs for this clause - Requirements and recommendations - Work products 6. Annex (informative) 7. Bibliography

Quelle: ISO/DIS 26262 18 © Fraunhofer IPA

ISO/DIS 26262 Lebenszyklusmodell der ISO/DIS 26262

Quelle: ISO/DIS 26262 19 © Fraunhofer IPA

ISO/DIS 26262 Lebenszyklusmodell der ISO/DIS 26262 (vereinfacht)

1. Vocabulary 2. Managem ent of functional s afety 4. Product dev elopm ent s y s tem lev el 3. Concept phas e 7. Production and operation

5. Product dev elopm ent hardw are lev el

6. Product dev elopm ent s oftw are lev el

8. S upporting proces s es 9. AS IL-oriented and s afety -oriented analy s es 10. Guideline on IS O 26262 (inform ativ e)

Quelle: ISO/DIS 26262 20 © Fraunhofer IPA

ANFORDERUNGEN DER ISO/DIS 26262 (KAPITEL 2)

21 © Fraunhofer IPA

ISO/DIS 26262 Anforderungen der ISO 26262-2

Definition der Anforderungen der für den Sicherheitslebenszyklus verantwortlichen Organisationen Sicherheitskultur Kompetenzen Qualitätsmanagement Definition der Rollen, Verantwortlichkeiten und Tätigkeiten für das Sicherheitsmanagement während der Entwicklung der Einheit Sicherheitsmanager Projektmanager Audit, Review, Assessment der Sicherheitsaktivitäten

Quelle: ISO/DIS 26262-2 22 © Fraunhofer IPA

ISO/DIS 26262 Management der Funktionalen Sicherheit (Safety plan)

Der Safety-Plan enthält die zur Sicherstellung der Funktionalen Sicherheit erforderliche Aufbau- und Ablaufplanung (Phasen, Meilensteine, Verantwortlichkeiten, Dokumente) hinsichtlich: Strategien und Aktivitäten Schnittstellenabstimmung mit Lieferanten

Unterstützende Prozesse

Gefahren- und Risikoanalyse Entwicklung und Umsetzung der Sicherheitsanforderungen

Verifikation und Validation

Dokumente

23 © Fraunhofer IPA

ANFORDERUNGEN DER ISO/DIS 26262 (KAPITEL 3)

24 © Fraunhofer IPA

ISO/DIS 26262 Sicherheits-Lebenszyklus (safety lifecycle)

3-5 3-6

Item definition Initiation of the s afety lifecy cle Hazard analy s is and ris k as s es s m ent Functional s afety concept Product dev elopm ent S y s tem lev el

3-7

3-8 4 5

Other technologies Controllability Ex ternal m eas ures

7-5 7-6

Production planning Operation planning

6

S oftw are lev el

Hardw are lev el

4-11 7-5 7-6

Releas e for production Production Operation, s erv ice and decom m is s ioning

Back to appropiate lifecy cle phas e

After S OP Product dev elopm ent

Concept phas e

Quelle: ISO/DIS 26262-2 25 © Fraunhofer IPA

ISO/DIS 26262 Anforderungen der ISO 26262-3 Hazard analysis and risk assessment

Identifizierung und Kategorisierung der Gefahren durch den Betrachtungsgegenstand Analyse der Betriebsbedingungen und Identifikation der Gefahren

Vollständige Auflistung der Betriebsbedingungen Systematische Ableitung und Definition der Gefahren sowie Auswirkungen für alle Betriebsbedingungen

Bewertung der Gefahren

S0-S3: Schwere der potentiellen Gefahr E0-E4: Dauer des Ausgesetzseins in der Betriebssituation C0-C3: Beherrschbarkeit durch Fahrer und/oder Beteiligte

Kategorisierung der Gefahren (ASIL)

ASIL A - D QM

Quelle: ISO/DIS 26262-3 26 © Fraunhofer IPA

ISO/DIS 26262 Anforderungen der ISO 26262-3 Functional safety concept

Sicherheitsziele zur Vermeidung oder Abschwächung der Gefahren

Definition der Sicherheitsziele

Spezifikation der funktionalen Sicherheitsanforderungen Zustandsbeschreibung Warn- und Degradationskonzept Notbetriebskonzept Reaktionskonzept durch Fahrer Verifizierung, Bewertung, Validierung und Review des Sicherheitskonzepts Verifizierung, Bewertung, Validierung und Review des funktionalen Sicherheitskonzepts auf Übereinstimmung mit den Sicherheitszielen

Quelle: ISO/DIS 26262-3 27 © Fraunhofer IPA

ANFORDERUNGEN DER ISO/DIS 26262 (KAPITEL 5)

28 © Fraunhofer IPA

ISO/DIS 26262 Anforderungen der ISO 26262-5 Hardware architectural metrics

Bewertung der Hardwarearchitektur in Bezug auf Behandlung zufälliger Hardwarefehler ASIL (B), C, D: Anwendung Hardwaremetriken und Einhaltung von Zielwerten Robustheit gegenüber Einfachfehlern

Robustheit gegenüber Mehrfachfehlern

Zufällige Hardwarefehler mit gefahrbringender Wirkung ASIL (B), C, D: Review der Bewertung

Quelle: ISO/DIS 26262-5 29 © Fraunhofer IPA

ISO/DIS 26262 ISO 26262-5, Annex C Zufällige Hardwarefehler

Single point fault (SPF)

Abweichung, die durch keinen Sicherheitsmechanismus abgedeckt ist und sofort zur Verletzung eines Sicherheitsziels führt

Residual fault (RF)

Teil einer Abweichung, der nicht durch einen Sicherheitsmechanismus abgedeckt wird und welcher zur Verletzung eines Sicherheitsziels führt

Multiple point fault (MPF)

Abweichung unter mehreren unabhängigen Abweichungen, welche in Kombination zu einem Mehrfachfehler führt

Perceived (MPF P)

bemerkt

Detected (MPF D)

entdeckt

Latent (MPF L)

schlafend

Quelle: ISO/DIS 26262-5 30 © Fraunhofer IPA

ISO/DIS 26262 Berechnungsalgorithmen für Fault-Metriken und gefahrbringende Ausfälle nach ISO 26262-5, Annex E und G

AS IL A B C D

PMHF < 10-6 < 10-7 < 10-7 < 10-8

AS IL A B C D

S PFM 90% 97% 99%

LFM 60% 80% 90%

Legende: PMHF = Probabilistic Metric for random Hardware Failures SPFM = Single-point fault metric LFM = Latent-fault metric

Quelle: ISO/DIS 26262-5 31

© Fraunhofer IPA

ISO/DIS 26262 ISO 26262-5, Annex D (informative) Ermittlung von Diagnosedeckungsgraden (DC)

Ermittlung und Realisierung der Diagnosedeckungsgrade kann auf Basis von Empfehlungen der ISO/DIS 26262-5, Annex D (Tabelle 1-12 und Erläuterung D 2.1-D 2.11) erfolgen (z.B. ROM und Block replication)

Quelle: ISO/DIS 26262-5 32 © Fraunhofer IPA

Funktionale Sicherheit Ermittlung der Fehlermodi und Fehlerraten von Systemelementen

Ermittlung der Fehlermodi und FIT-Werte von Systemelementen: Literatur zur Zuverlässigkeit (z.B. Birolini) Firmennormen (z.B. SN 29500) Zuverlässigkeitsbücher (z.B. MIL-Handbook 217) Herstellerangaben und Datenblätter Felderfahrungswerte Umrechnung auf Umgebungstemperaturen

FIT = Failure in Tim e: Ausfallrate technischer Komponenten (Anzahl Bauteile, welche in 109 Stunden ausfallen). 1 FIT = 1 Ausfall in ca. 114.000 Jahren

33 © Fraunhofer IPA

Funktionale Sicherheit Ermittlung der Fehlermodi und Fehlerraten von Systemelementen

Fehlermodi für Widerstände aus Birolini: Open = 40% 0,4 FIT (open) Drift = 60% 0,6 FIT (drift)

© Fraunhofer IPA

Quellen: SN 29500-4 (2004) Birolini (2007) 34

Funktionale Sicherheit Ermittlung der Fehlerraten komplexer Systemelemente

Verfahren zur Aufteilung von FIT-Werten bei komplexen Bauteilen: 50/50-Aufteilung Aufteilung auf Funktionsgruppen Aufteilung nach Chipflächen Aufteilung nach Empfehlungen (z.B. Birolini, SN 29500)

Bildquelle: www.kurz-elektronik.de 35 © Fraunhofer IPA

METHODEN ZUR ANALYSE MECHATRONISCHER SYSTEME

36 © Fraunhofer IPA

Funktionale Sicherheit Methoden zur Analyse mechatronischer Systeme

Methoden zur SIL-Klassifizierung

Gefahren- und Risikoanalyse

Risikograph Methoden zur Analyse systematischer Fehler Fehlermöglichkeits- und Einflussanalyse (FMEA) Fehlerbasierte System-Reaktionsanalyse (FSR)

Methoden zur Analyse zufälliger Fehler Fehlermöglichkeits-, Einfluss- und Diagnoseanalyse (FMEDA) Fehlerbaumanalyse (FTA)

37 © Fraunhofer IPA

METHODEN ZUR ASIL-KLASSIFIZIERUNG

38 © Fraunhofer IPA

Methoden zur Analyse mechatronischer Systeme Gefahren- und Risikoanalyse

Zielsetzung:

Systematische Ermittlung potentieller Gefahrenund Risiken des Systems

Methodisches Vorgehen: Definition der Hauptfunktionen des Systems Ermittlung der potentiellen Fehlfunktionen Ermittlung der Gefahren und Risiken Nutzen/Anmerkung:

Frühzeitige Durchführung

Betrachtung unabhängig vom Sicherheitskonzept (Grundlage für Sicherheitskonzept) Voraussetzung zur (A)SIL-Einstufung

39 © Fraunhofer IPA

Methoden zur Analyse mechatronischer Systeme Risikograph zur ASIL-Klassifizierung nach ISO/DIS 26262

Exposure E

C0 S0 E0 ­ E4 E0 QM QM

Controllability C

C1 QM QM C2 QM QM C3 QM QM

Zielsetzung:

E1

S1 E2 E3 E4

QM

QM QM QM

QM

QM QM QM

QM

QM QM A

QM

QM A B

Systematische Ermittlung des ASIL-Levels auf Basis der Gefahren- und Risikoanalyse

Methodisches Vorgehen: Bestimmung des ASIL-Levels anhand der Schwere (Severity) der Häufigkeit des Ausgesetztseins (Exposure) der Beherrschbarkeit (Controllability)

Severity S

E0

E1 S2 E2 E3

QM

QM QM QM

QM

QM QM QM

QM

QM QM A

QM

QM A B

E4

E0 E1 S3 E2

QM

QM QM QM

A

QM QM QM

B

QM QM A

C

QM A B

E3

E4

QM

QM

A

B

B

C

C

D

[nach ISO DIS 26262]

Nutzen/Anmerkung:

Systematisches und nachvollziehbares Vorgehen Basis für Vorgaben zur Methodenanwendung und für Zielwerte der weiteren Entwicklung

40 © Fraunhofer IPA

Methoden zur Analyse mechatronischer Systeme Risikograph zur ASIL-Klassifizierung nach ISO/DIS 26262

Exposure E

S0 E0 ­ E4 E0 E1 S1 E2 E3 E4 E0 E1 S2 E2 E3 E4 E0 E1 S3 E2 E3 E4

Controllability C

C0

QM QM QM QM QM QM QM QM QM QM QM QM QM QM QM QM

C1

QM QM QM QM QM QM QM QM QM QM A QM QM QM A B

C2

QM QM QM QM QM A QM QM QM A B QM QM A B C

C3

QM QM QM QM A B QM QM A B C QM A B C D

Severity S

S chw ere (S ev erity ) S 0: keine Verletzungsgefahr S 1: geringe und m äßige Verletzungen S 2: erns te und m öglicherw eis e tödliche Verletzungen S 3: s chw ere und w ahrs cheinlich tödliche Verletzungen Häufigkeit des Aus ges etzts eins (Ex pos ure) E1: s elten: Situation tritt für die meisten Fahrer seltener als einmal pro Jahr auf E2: gelegentlich: Situation tritt für die meisten Fahrer wenige Male pro Jahr auf E3: ziem lich oft: Situation tritt für Durchschnittsfahrer einmal im Monat oder öfter auf E4: oft: Situation die bei nahezu jeder Fahrt auftritt

[nach ISO/DIS 26262]

Beherrs chbarkeit (Controllability ) C1: einfach beherrs chbar: mehr als 99% der Fahrer oder der anderen Verkehrsteilnehmer können den Schaden üblicherweise abwenden C2: durchs chnittlich beherrs chbar: mehr als 90% der Fahrer oder der anderen Verkehrsteilnehmer können den Schaden üblicherweise abwenden C3: s chw ierig oder gar nicht beherrs chbar: weniger als 90% der Fahrer oder der anderen Verkehrsteilnehmer können den Schaden üblicherweise abwenden

41

© Fraunhofer IPA

METHODEN ZUR ANALYSE SYSTEMATISCHER FEHLER

42 © Fraunhofer IPA

Methoden zur Analyse mechatronischer Systeme Fehlermöglichkeits- und Einflussanalyse (FMEA)

Zielsetzung: 1.

Systematische Ermittlung potentieller Fehlfunktionen für die Komponenten des Systems

Methode nach VDA 4 Kapitel 3 (2006): 1: Strukturanalyse (Strukturbaum) 2: Funktionsanalyse (Funktionsnetze) 3: Fehleranalyse (Fehlernetze) 4: Maßnahmenanalyse und Bewertung 5: Optimierung (falls notwendig)

2.

3.

4.

Nutzen/Anmerkung:

Detaillierte Übersicht über Fehlfunktionen Maßnahmenplan für sichere Systemauslegung Präzise Benennung der Fehlfunktionen

43

5.

© Fraunhofer IPA

Methoden zur Analyse mechatronischer Systeme Fehlerbasierte System-Reaktionsanalyse (FSR)

Zielsetzung:

Analyse der Diagnose- und Absicherungsmaßnahmen auf systematische Fehler

Methode: Übernahme der Fehlfunktionen aus der SystemFMEA für alle beteiligten Komponenten Bewertung der Entdeckbarkeit von Ausfallarten unter Berücksichtigung von nutzerbedingten Interaktionen und Systemzuständen Nutzen/Anmerkung: Hinweise auf ,,schlafende Fehler" im System Weitere Gegenüberstellung schlafender Fehler in Paarvergleichsmatrizen

44 © Fraunhofer IPA

METHODEN ZUR ANALYSE ZUFÄLLIGER FEHLER

45 © Fraunhofer IPA

Methoden zur Analyse mechatronischer Systeme Failure Modes, Effects and Diagnostic Analysis (FMEDA)

FIT Systemkomponenten Spannungsversorgung µC Quarz Relais Taster HW-Watchdog µC µC-ROM µC-RAM µC-I/O µC-Watchdog Summe (10-9) 100,00 5,00 300,00 40,00 10,00 25,00 25,00 25,00 25,00 25,00 580,00 91,67 92,1% 91,4% DC 1 (%) Safe Fault 40,00 0,00 224,78 19,80 0,00 12,50 0,00 12,50 12,50 0,00 322,08 Single Point Residual Fault Fault 0,00 0,00 0,30 0,40 0,00 12,38 0,00 0,00 12,38 0,00 25,45 16,04 4,46 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 20,49 Multiple Point Fault DC 2 (%) Detected Latent Preceived 43,80 0,08 0,08 0,50 0,02 0,02 74,18 0,37 0,37 0,00 9,90 9,90 0,10 9,85 0,05 0,00 0,06 0,06 24,75 0,25 0,00 12,38 0,12 0,00 0,00 0,06 0,06 0,00 25,00 0,00 155,70 45,73 10,55

Ziels etzung:

Kom ponenten der S icherheits funktion

< 10-7 (erfüllt) 90% (erfüllt) 60% (erfüllt)

Analyse der Fehlermodi der an der Sicherheitsfunktion beteiligten Komponenten

Methode: Auflistung aller Abweichungen der an der Sicherheitsfunktion beteiligten Komponenten Bewertung der Abweichungen/Ausfälle Ermittlung der Fehlerraten

Gefahrbringende Ausfälle/Stunde Single Point Fault Metric Latent Fault Metric

FMEDA

Nutzen/Anm erkung:

Tabellarisches Verfahren zur Berechnung der FuSi-Parameter (z.B. PMHF, Fault-Metriken) Pro Sicherheitsziel Erstellung einer FMEDA

46 © Fraunhofer IPA

VORGEHENSWEISE ZUR ANALYSE MECHATRONISCHER SYSTEME

47 © Fraunhofer IPA

Zusammenhang zwischen den eingesetzten Methoden Vorgehensweise zur Analyse und Absicherung funktional sicherer mechatronischer Systeme

Gefahrenund RisikoAnalyse Systemarchitektur und Funktionsblock-Diagramm

Komponenten Funktionen

Bauteilinformationen (z.B. Birolini und SN 29500)

Failure Modes FIT-Werte

S IL 2

Verfahren nach ISO 26262

Einfache Fehlerfälle FMEA

SoftwareKonzepte und Algorithmen

DC

Komplexe Fehlerfälle

FuSi-S oll-Werte: Fault-Metriken und PMHF

Fehlerbasierte SystemreaktionsAnalyse (FSR)

FuSi-Is t-Werte: Fault-Metriken und PMHF FMEDA und Berechnungsverfahren

SoftwareKonzepte und Algorithmen

DC

?

DC = Diagnostic Coverage

48 © Fraunhofer IPA

ERLÄUTERUNG ANHAND EINES BEISPIELSYSTEMS

49 © Fraunhofer IPA

Erläuterung anhand eines Beispielsystems Beispielsystem (Fahrzeug und Werte zufällig gewählt)

Quelle: http://www.imcdb.org

Quelle: http://www.automobilrevue.de/detroit2002.htm

1965

20x x ?

50 © Fraunhofer IPA

Erläuterung anhand eines Beispielsystems Gefahren- und Risikoanalyse

Hauptfunktion Hauptfehlfunktion

51 © Fraunhofer IPA

Erläuterung anhand eines Beispielsystems Möglicher Risikograph gemäß ISO/DIS 26262

C0 QM QM QM QM QM QM QM QM QM QM QM QM QM QM QM QM C1 QM QM QM QM QM QM QM QM QM QM A QM QM QM A B C2 QM QM QM QM QM A QM QM QM A B QM QM A B C C3 QM QM QM QM A B QM QM A B C QM A B C D

Fehlfunktionen und Aus w irkungen aus der Gefahren- und Ris ikoanaly s e

Fahrzeug Geöffnete Fahrzeugtüre v erletzt Pas s anten am S traßenrand Portaltüre Fondtüre läs s t s ich bei v > 4 km /h v on innen öffnen

S0

S1

S2

S3

E0 ­ E4 E0 E1 E2 E3 E4 E0 E1 E2 E3 E4 E0 E1 E2 E3 E4

S ev erity ­ S : S2: Schwere Verletzungen, lebensbedrohlich, Überleben wahrscheinlich

Ex pos ure ­ E:

E4: hohes bzw. ständiges Auftreten

Controllability ­ C:

C2: durchschnittlich beherrschbar: mehr als 90% der Fahrer bzw. Verkehrsteilnehmer können den Schaden üblicherweise abwenden

AS IL B

PFH < 10 -7 S PFM 90% LFM 60%

52

© Fraunhofer IPA

ANALYSE SYSTEMATISCHER FEHLER

53 © Fraunhofer IPA

Erläuterung anhand eines Beispielsystems Mögliche Systemstruktur einer ,,Portaltüre"

Diagnos es y s tem (S ens orik)

54 © Fraunhofer IPA

Erläuterung anhand eines Beispielsystems Mögliches Funktionsnetz einer ,,Portaltüre"

Hauptfunktion des S y s tem s

Funktion Diagnos es y s tem (S ens orik)

55 © Fraunhofer IPA

Erläuterung anhand eines Beispielsystems Mögliches Fehlernetz einer ,,Portaltüre"

AS IL B Fehlfunktion des S y s tem

Fehlfunktion am Diagnos es y s tem (S ens orik)

56 © Fraunhofer IPA

Erläuterung anhand eines Beispielsystems Mögliche FSR eines Diagnosesystems der ,,Portaltüre"

57 © Fraunhofer IPA

Erläuterung anhand eines Beispielsystems Mögliches Formblatt einer ,,Portaltüre"

Keine Erkennung der Fehlfunktion an der S ens orik im Betrieb und keine Inform ation des Fahrers

58 © Fraunhofer IPA

Erläuterung anhand eines Beispielsystems Mögliches Formblatt einer ,,Portaltüre"

S ichere Fehlererkennung der S ens orik im Betrieb und Inform ation des Fahrers

59 © Fraunhofer IPA

Erläuterung anhand eines Beispielsystems Analyse und Bewertung von Fehlfunktionen, Fehlererkennung und Fehlerreaktion im System ,,Portaltüre"

2. Fehlerreaktion

1. Fehlererkennung

60 © Fraunhofer IPA

Erläuterung anhand eines Beispielsystems Mögliches Formblatt einer ,,Portaltüre"

Nachw eis erbracht!

S ichere Fehlererkennung an der S ens orik im Betrieb und Inform ation des Fahrers

61 © Fraunhofer IPA

Fehlermöglichkeits- und Einflussanalyse (FMEA) Analyse und Bewertung von Fehlfunktionen, Fehlererkennungen und Fehlerreaktionen im Betrieb

Häufigkeit A

2. Fehlerreaktion 1. FehlerA=1 erkennung

Schadensausmaß B

62 © Fraunhofer IPA

ANALYSE ZUFÄLLIGER FEHLER

63 © Fraunhofer IPA

Erläuterung anhand eines Beispielsystems FuSi-Kennwerte anhand von Fehlernetzen und Ausfallraten bis auf die Ebene der elektr(on)ischen Bauteile

FIT = Failure in Tim e

Ausfallrate technischer Komponenten (Anzahl der Bauteile, welche in 109 Stunden ausfallen). 1 FIT = 1 Ausfall in ca. 114.000 Jahren

_open = 0,05 FIT _short = 0,02 FIT _drift = 0,03 FIT

FuS i-Kennw erte

64 © Fraunhofer IPA

Failure Modes, Effects and Diagnostic Analysis (FMEDA) FMEDA für einen µC (gemäß ISO/DIS 26262)

65 © Fraunhofer IPA

FAZIT

66 © Fraunhofer IPA

Funktionale Sicherheit Fazit

Funktionale Sicherheit stellt eine neue Herausforderung an das technische Risikomanagement dar (von Industrie geschätzter Mehraufwand 10-20%) Voraussetzungen zur Sicherstellung der funktionalen Sicherheit sind Funktionierende Managementsysteme und Reifegradmodelle (z.B. TS 16949, SPICE, CMMI) Organisatorische Erweiterungen für das Safety Management entsprechend den Anforderungen der ISO 26262 Integrierte Anwendung der Methoden und Werkzeuge Detaillierte und präzise Systemanalysen durch den OEM sowie effektives Schnittstellenmanagement/Kommunikation mit den Lieferanten Kritische Betrachtung der Risiken unabhängig von Zahlenwerten

67 © Fraunhofer IPA

Funktionale Sicherheit Literaturempfehlung

68 © Fraunhofer IPA

No risk ­ no fun !

Vielen Dank für Ihre Aufm erks am keit !

Bildquelle: http://ww w.extr3m 3.de/

69 © Fraunhofer IPA

Information

Folie 1

69 pages

Report File (DMCA)

Our content is added by our users. We aim to remove reported files within 1 working day. Please use this link to notify us:

Report this file as copyright or inappropriate

147515


Notice: fwrite(): send of 208 bytes failed with errno=104 Connection reset by peer in /home/readbag.com/web/sphinxapi.php on line 531