Home News FSM und FuSi
FSM und FuSi PDF  |  Seite empfehlen  

FSM und FuSi - was ist das denn?

Mit Sicherheit ein Thema ...

chef_Ing1FSM – Was ist das denn jetzt schon wieder?

FSM steht für „Functional Safety Management“. Im Deutschen spricht man manchmal auch von „FuSi“ (Funktionale Sicherheit). Wird da wieder einfach nur eine neue Sau durchs Dorf getrieben? In diesem Fall lautet die Antwort ganz klar: Nein!


Im Fall von FSM wurden im April 2011 die Teile 1 bis 9 der Norm ISO 26262 als Final Draft International Standard (FDIS) veröffentlicht. Sie soll für die Automotive-Branche international ein gültiger Standard sein, nachdem der FDIS Ende Juni 2011 von den an der Abstimmung beteiligten Nationen angenommen wurde. Die Norm muss dann in der Entwicklung von sicherheitsrelevanten elektrischen / elektronischen Komponenten angewendet werden. Um auf dem Stand der Technik zu entwickeln, ist es allerdings schon heute jedem Lieferanten (Tier 1 und Tier 2) und OEM angeraten, sich an die Vorgaben dieser Norm zu halten.


Die ASIL-Klassifikation setzt sich ähnlich wie die RPZ in der FMEA-Betrachtung aus drei verschiedenen Faktoren zusammen. Dabei handelt es sich um:

  • „Severity - S“ (Schwere des Fehlers, Gefährdung des Nutzers oder der Umgebung)
    • S0: keine Verletzungen (unverletzt)
    • S1: leichte bis mittelschwere Verletzungen (Arm verletzt)
    • S2: schwere Verletzungen, Überleben aber sehr wahrscheinlich (Arm ab)
    • S3: schwerste Verletzungen, Überleben unwahrscheinlich (Kopf ab)
  • „Exposure - E“ (Eintrittswahrscheinlichkeit, d.h. Zusammenwirken von Fehlfunktion und Betriebszustand)
    • E1: seltenes Auftreten (Liegenbleiber auf dem Bahnübergang)
    • E2: gelegentliches Auftreten (Fahren mit Anhänger oder Dachgepäckträger)
    • E3: häufiges Auftreten (Tanken des Fahrzeugs, nasse Straße)
    • E4: ständiges Auftreten (Beschleunigen, Bremsen, Lenken)
      • Außerdem wird beim Faktor Exposure noch nach zwei Parametern unterschieden: Duration (Dauer des Auftretens des Fehlers) and Frequence (Frequenz des Auftretens des Fehlers).
  • „Controllability - C“ (Beherrschbarkeit des Fehlers)
    • C0: sichere Beherrschung (alle Fahrer beherrschen diese Situation, z.B. ungewollte Erhöhung der Radiolautstärke)
    • C1: einfache Beherrschbarkeit (mehr als 99% der Fahrer können die Situation beherrschen, z.B. Lenksäule beim Start des Fahrzeugs eingerastet)
    • C2: normale Beherrschbarkeit (mehr als 90% der Fahrer können die Situation beherrschen, z.B. Ausfall des ABS während einer Notfallbremsung)
    • C3: schwierige Beherrschbarkeit (weniger als 90% der Fahrer beherrschen die Situation, z.B. plötzlich auftretende hohe Lenkkräfte)

Aus diesen drei Faktoren werden nun die ASIL-Levels bestimmt (Siehe Tabelle). ASIL-Tabelle_Risikograph
Tabelle gemäß ISO 26262-3, – Herleitung der ASIL-Levels über den Risikograph

Aus den ASIL-Levels A, B, C oder D ergeben sich dann die Anforderungen an das zu entwickelnde Produkt / Baugruppe / Einzelteil.
Sehen Sie hier einige kleine Beispiele:

  • keine Beschleunigung bei Fahreranforderung
    ==>ASIL A
  • Selbstbeschleuniger
    ==>ASIL C
  • Bremsversagen ==>ASIL D
  • Selbstlenker ==>ASIL D


Ausfallwahrscheinlichkeiten - FIT-Raten:
„Failure in Time“ (FIT) beschreibt die Ausfallrate technischer Komponenten, insbesondere elektronischer Bauteile. Die Einheit FIT gibt dabei die Anzahl der Bauteile an, welche in 109 Stunden ausfallen (Ausfallrate bei 1 Fit also einmal in ca. 114.000 Jahren).

Bauteile mit einem hohen FIT-Wert fallen statistisch gesehen häufiger aus als solche mit einem niedrigen Wert. Mit Hilfe der FIT-Werte einzelner Bauteile lässt sich die Ausfallwahrscheinlichkeit komplexer Geräte bereits in der Konstruktions- oder Planungsphase berechnen. Hierbei geht man davon aus (falls keine Redundanzen vorliegen), dass der Ausfall eines beliebigen Einzelteils zum Versagen des ganzen Gerätes führt. Aus der Summe der Ausfallraten der Einzelteile ergibt sich somit die Ausfallrate des ganzen Gerätes.

Wie alle statistischen Kenngrößen kann eine FIT-Berechnung keine Aussage über Fehler eines bestimmten Einzelgerätes liefern, sondern immer nur Anhaltspunkte für eine größere Serie geben.

Hinweis: Auf einer eigenen i-Q-seite zu diesem Thema werden Sie eine Liste mit typischen FIT-Werten für bedrahtete elektronische Bauteile finden.

Oberflächenmontierte Bauteile (SMD - Surface Mounted Device) haben teilweise wesentlich günstigere Werte. Diese Werte sind nur als Anhaltspunkte zu nehmen, da sie je nach Literaturquelle und Bauteil durchaus um den Faktor 10 unterschiedlich angegeben werden. Zusätzlich sind die Werte sehr stark von der Temperatur abhängig: eine Temperaturerhöhung um 25 °C verzehnfacht die Ausfallrate (Gesetz von Arrhenius).
Auch die Umgebung ist zu berücksichtigen (Feuchtigkeit, Höhe, Strahlung, Erschütterungen, usw.). Die MTTF (Mean Time To Failure - mittlere Zeit bis zum Auftreten eines Fehlers (an nicht reparierbaren technischen Systemen) - also die wahrscheinliche mittlere Lebensdauer) ist der Kehrwert der Ausfallrate. Mathematisch exakt gilt das jedoch nur für eine zeitinvariante (=konstante) Ausfallrate.


Normen zu Ausfallwahrscheinlichkeiten:

Die bekannteste und älteste Zusammenfassung von Ausfallwahrscheinlichkeiten ist das US-Handbuch MIL-STD-217. Dieses rechnet jedoch mit FpmH (Failures per million hours), also der Ausfallwahrscheinlichkeit nach einer Million Betriebsstunden. Der Wert ist durch Multiplikation mit 10³ in FIT umzurechnen.

Eine weitere eingeführte Ausfallwahrscheinlichkeitsquelle ist die Siemens-Norm SN 29500, die es ermöglicht, für die gebräuchlichsten elektronischen und elektromechanischen Bauteile FIT-Werte anhand von bekannten Belastungsdaten zu errechnen. Diese Werks-Norm besitzt keinen offiziellen internationalen Status. Dennoch wird sie weltweit bevorzugt zur Berechnung der Kennzahlen sicherheitstechnischer Geräte sowie zur Ermittlung von Zuverlässigkeitsprognosen (Reliability Prognosis) herangezogen. Die damit gewonnenen Ausfallraten sind allesamt konservativer Natur, d.h. das Bauteil wird unabhängig von Hersteller und dessen Produktionsverfahren beurteilt, das Ergebnis befindet sich also auf der „sicheren Seite“ und muss nicht zwangsläufig die physikalische Wirklichkeit widerspiegeln.

Weitere Beispiele für Ausfallraten finden sich in der Anwendungsnorm EN ISO 13849-1, die als Nachfolger zur EN 954 diese im Jahre 2006 vollständig ersetzte, sowie in der Anwendungsnorm EN 62061 zur funktionalen Sicherheit von Maschinen und Anlagen. Weniger verbreitet ist die ursprünglich französische Norm RDF 2000 (IEC TR 62380), die auch reale Betriebszustände, wie beispielsweise Temperatureinflüsse oder Ein-/Ausschaltvorgänge berücksichtigt.


Weitere Details werden wir in den nächsten Wochen auf einer i-Q-Seiten veröffentlichen - versprochen!

Sie haben Fragen dazu? Senden Sie uns gern eine E-Mail. Wir antworten gern per Mail, auf dem Postweg oder telefonisch.


i-QlibriDiese Seite twittern (vorher angemeldet sein bei Twitter)

Bookmark and Share
 
 Nach oben
IMPRESSUM | DATENSCHUTZERKLÄRUNG

© 1998-2012 - i-Q Schacht & Partner Qualitätskonstruktion -