Home Qualitätsmanagement ISO 26262 / FSM und FuSi
ISO 26262 / FSM und FuSi PDF  |  Seite empfehlen  

chef_Ing1FSM – Mit Sicherheit ein Thema...

FSM steht für „Functional Safety Management“. Im Deutschen spricht man manchmal auch von „FuSi“ (Funktionale Sicherheit). Wird da wieder einfach nur eine neue Sau durchs Dorf getrieben? In diesem Fall lautet die Antwort ganz klar: Nein!


Im Fall von FSM wurden im November 2011 die Teile 1 bis 9 der Norm ISO 26262 als endgültige Fassung veröffentlicht. Sie soll für die Automotive-Branche international ein gültiger Standard sein. Die Norm muss ab diesem Zeitpunkt in der Entwicklung von sicherheitsrelevanten elektrischen / elektronischen Komponenten angewendet werden. Um auf dem Stand der Technik zu entwickeln, ist es heute jedem Lieferanten (Tier 1 und Tier 2) und OEM angeraten, sich an die Vorgaben dieser Norm zu halten.


Zunächst betrachten wir die Norm aus der Sicht der „Funktionalen Sicherheit“:

Worum geht es im Einzelnen? Aus Sicht der Funktionalen Sicherheit sind immer zwei Fragen zu stellen:

  • Gibt es eine Anforderung an die innere Funktion einer Komponente oder des Systems, von deren Verhalten (Fehlfunktion) eine Gefahr für den Nutzer ausgeht?
  • Gibt es aufgrund äußerer Fremd-Einwirkungen eine funktionale Anforderung an die Komponente oder an das System, diese/s in einen sicheren Zustand zu überführen ?

In beiden Fällen ist die Schwere der Fehlfunktion (oder das Versagen der geforderten Funktion) zu bewerten. Gemäß der ASIL - Klassifikation sind Maßnahmen zu treffen, damit unmittelbarer Schaden vom Nutzer abgewendet werden kann. (ASIL = Automotive Safety Integrity Level)
Diese Maßnahmen können auf drei Weisen getroffen werden:

  • Funktion
    • Zuverlässige Funktionsausführung, d.h. entsprechend dem ASIL eine sichere Funktionsausführung zu garantieren, das beinhaltet u.a. eine bestimmte Ausfallrate auf Bauteilebene einzuhalten.
    • Zuverlässige parallele Überwachung und ggf. Überführung in einen sicheren Zustand (Rückfallebene), Degradation etc.
  • Design
    • Änderung des Designs, so dass mit einer anschließenden Neubewertung eine geringere ASIL-Bewertung erfolgen kann.
  • Betrieb / Benutzung
    • Einschränkung des Betriebsbereiches (Temperatur, Druck, Dauer etc.)
    • Auflagen an die Qualifikation des Nutzers, Einschränkung des Nutzerkreises, Unterweisung, Betriebsanleitung Zur Umsetzung wird nach erfolgter Gefahrenanalyse eine Sicherheitsarchitektur entworfen und dann ein Sicherheitskonzept formuliert.
      Erst im Sicherheitskonzept erfolgt eine Aufteilung der ASIL-Klassifzierungen auf Komponenten
      (ASIL - Allokation - Dekompositition), basierend auf der System-Architektur.

ASIL-Klassifikation

Die ASIL-Klassifikation setzt sich ähnlich wie die RPZ in der FMEA-Betrachtung aus drei verschiedenen Faktoren zusammen. Dabei handelt es sich um:

  • „Severity - S“ (Schwere des Fehlers, Gefährdung des Nutzers oder der Umgebung)
    • S0: keine Verletzungen (unverletzt)
    • S1: leichte bis mittelschwere Verletzungen (Arm verletzt)
    • S2: schwere Verletzungen, Überleben aber sehr wahrscheinlich (Arm ab)
    • S3: schwerste Verletzungen, Überleben unwahrscheinlich (Kopf ab)
  • „Exposure - E“ (Eintrittswahrscheinlichkeit, d.h. Zusammenwirken von Fehlfunktion und Betriebszustand)
    • E1: seltenes Auftreten (Liegenbleiber auf dem Bahnübergang)
    • E2: gelegentliches Auftreten (Fahren mit Anhänger oder Dachgepäckträger)
    • E3: häufiges Auftreten (Tanken des Fahrzeugs, nasse Straße)
    • E4: ständiges Auftreten (Beschleunigen, Bremsen, Lenken)
      • Außerdem wird beim Faktor Exposure noch nach zwei Parametern unterschieden: Duration (Dauer des Auftretens des Fehlers) and Frequence (Frequenz des Auftretens des Fehlers).
  • „Controllability - C“ (Beherrschbarkeit des Fehlers)
    • C0: sichere Beherrschung (alle Fahrer beherrschen diese Situation, z.B. ungewollte Erhöhung der Radiolautstärke)
    • C1: einfache Beherrschbarkeit (mehr als 99% der Fahrer können die Situation beherrschen, z.B. Lenksäule beim Start des Fahrzeugs eingerastet)
    • C2: normale Beherrschbarkeit (mehr als 90% der Fahrer können die Situation beherrschen, z.B. Ausfall des ABS während einer Notfallbremsung)
    • C3: schwierige Beherrschbarkeit (weniger als 90% der Fahrer beherrschen die Situation, z.B. plötzlich auftretende hohe Lenkkräfte)

Diese drei Faktoren sind weiter aufgegliedert über Parameter (z.B. S0, S1 etc.). Über einen Risikographen ergibt sich aus allen drei Faktoren die ASIL-Klassifikation: die Bestimmung der ASIL-Level (Siehe Tabelle). ASIL-Tabelle_Risikograph
Tabelle gemäß ISO 26262-3, – Herleitung der ASIL-Levels über den Risikograph


Aus den ASIL-Levels werden nun verschiedene Klassen abgeleitet, die sich u.a. auf die zulässigen Ausfallwahrscheinlichkeiten beziehen:

  • ASIL A:
    • empfohlene Ausfallwahrscheinlichkeit
      kleiner 10-6 / Stunde, entspricht einer Rate von 1.000 Fit
  • ASIL B:
    • empfohlene Ausfallwahrscheinlichkeit
      kleiner 10-7 / Stunde, entspricht einer Rate von 100 Fit
  • ASIL C:
    • geforderte Ausfallwahrscheinlichkeit
      kleiner 10-7 / Stunde, entspricht einer Rate von 100 Fit
  • ASIL D:
    • geforderte Ausfallwahrscheinlichkeit
      kleiner 10-8 / Stunde, entspricht einer Rate von 10 Fit

Hinzu kommen noch für alle Entwicklungsdisziplinen wie System, Hardware, Software die ASIL-abhängigen Anforderungen für Architektur, Coding, Test usw.
Dabei gilt zu beachten, dass der Sprung in den Anforderungen zwischen B und C besonders groß ist, da ab ASIL C in der Regel zweikanalige Architekturen erforderlich werden und die Zuverlässigkeitsanforderungen verpflichtend sind. Das QM-Kriterium bedeutet, dass in diesem Falle die Maßnahmen ausreichend sind, die in einem normalen Qualitätsmanagement-System gefordert werden.

Aus den ASIL-Levels A, B, C oder D ergeben sich dann die Anforderungen an das zu entwickelnde Produkt / Baugruppe / Einzelteil.
Sehen Sie hier einige kleine Beispiele:

  • keine Beschleunigung bei Fahreranforderung
    ==>ASIL A
  • Selbstbeschleuniger
    ==>ASIL C
  • Bremsversagen ==>ASIL D
  • Selbstlenker ==>ASIL D


Ausfallwahrscheinlichkeiten - FIT-Raten:
„Failure in Time“ (FIT) beschreibt die Ausfallrate technischer Komponenten, insbesondere elektronischer Bauteile. Die Einheit FIT gibt dabei die Anzahl der Bauteile an, welche in 109 Stunden ausfallen (Ausfallrate bei 1 Fit also einmal in ca. 114.000 Jahren).

Bauteile mit einem hohen FIT-Wert fallen statistisch gesehen häufiger aus als solche mit einem niedrigen Wert. Mit Hilfe der FIT-Werte einzelner Bauteile lässt sich die Ausfallwahrscheinlichkeit komplexer Geräte bereits in der Konstruktions- oder Planungsphase berechnen. Hierbei geht man davon aus (falls keine Redundanzen vorliegen), dass der Ausfall eines beliebigen Einzelteils zum Versagen des ganzen Gerätes führt. Aus der Summe der Ausfallraten der Einzelteile ergibt sich somit die Ausfallrate des ganzen Gerätes.

Wie alle statistischen Kenngrößen kann eine FIT-Berechnung keine Aussage über Fehler eines bestimmten Einzelgerätes liefern, sondern immer nur Anhaltspunkte für eine größere Serie geben.


Oberflächenmontierte Bauteile (SMD - Surface Mounted Device) haben teilweise wesentlich günstigere Werte. Diese Werte sind nur als Anhaltspunkte zu nehmen, da sie je nach Literaturquelle und Bauteil durchaus um den Faktor 10 unterschiedlich angegeben werden. Zusätzlich sind die Werte sehr stark von der Temperatur abhängig: eine Temperaturerhöhung um 25 °C verzehnfacht die Ausfallrate (Gesetz von Arrhenius).
Auch die Umgebung ist zu berücksichtigen (Feuchtigkeit, Höhe, Strahlung, Erschütterungen, usw.). Die MTTF (Mean Time To Failure - mittlere Zeit bis zum Auftreten eines Fehlers (an nicht reparierbaren technischen Systemen) - also die wahrscheinliche mittlere Lebensdauer) ist der Kehrwert der Ausfallrate. Mathematisch exakt gilt das jedoch nur für eine zeitinvariante (=konstante) Ausfallrate.


Normen zu Ausfallwahrscheinlichkeiten:

Die bekannteste und älteste Zusammenfassung von Ausfallwahrscheinlichkeiten ist das US-Handbuch MIL-STD-217. Dieses rechnet jedoch mit FpmH (Failures per million hours), also der Ausfallwahrscheinlichkeit nach einer Million Betriebsstunden. Der Wert ist durch Multiplikation mit 10³ in FIT umzurechnen.


Eine weitere eingeführte Ausfallwahrscheinlichkeitsquelle ist die Siemens-Norm SN 29500, die es ermöglicht, für die gebräuchlichsten elektronischen und elektromechanischen Bauteile FIT-Werte anhand von bekannten Belastungsdaten zu errechnen. Diese Werks-Norm besitzt keinen offiziellen internationalen Status. Dennoch wird sie weltweit bevorzugt zur Berechnung der Kennzahlen sicherheitstechnischer Geräte sowie zur Ermittlung von Zuverlässigkeitsprognosen (Reliability Prognosis) herangezogen. Die damit gewonnenen Ausfallraten sind allesamt konservativer Natur, d.h. das Bauteil wird unabhängig von Hersteller und dessen Produktionsverfahren beurteilt, das Ergebnis befindet sich also auf der „sicheren Seite“ und muss nicht zwangsläufig die physikalische Wirklichkeit widerspiegeln.


Weitere Beispiele für Ausfallraten finden sich in der Anwendungsnorm EN ISO 13849-1, die als Nachfolger zur EN 954 diese im Jahre 2006 vollständig ersetzte, sowie in der Anwendungsnorm EN 62061 zur funktionalen Sicherheit von Maschinen und Anlagen. Weniger verbreitet ist die ursprünglich französische Norm RDF 2000 (IEC TR 62380), die auch reale Betriebszustände, wie beispielsweise Temperatureinflüsse oder Ein-/Ausschaltvorgänge berücksichtigt.


Vielleicht haben Sie schon mal von folgendem Beispiel gehört, bei dem die Sicherheit bzw. der Versagenseintritt ganz bewußt minimiert werden sollte.

Vor einigen Jahren gab es einen Unfall auf dem Warschauer Flughafen, bei dem ein Airbus nicht rechtzeitig zum Stehen kam. Was war passiert?
Die Ingenieure hatten Sicherheitsmechanismen in die Bordelektronik konstruiert, durch die der so genannte „Umkehrschub“ erst dann aktiviert werden konnte, wenn „sicher gestellt“ war, dass das Flugzeug auch tatsächlich Bodenkontakt hat.
Hintergrund: Falls der Umkehrschub eingeleitet wird, wenn sich das Flugzeug noch in der Luft befindet, dann hat das zur Folge, dass es einen Strömungsabriss gibt und das Flugzeug wie ein Stein vom Himmel fällt. So weit, so gut!
Worüber wurde sicher gestellt, dass das Flugzeug Bodenkontakt hat? Durch diese zwei unabhängige Mechanismen:
  1. Das Fahrwerk musste eingefedert sein
  2. Die Drehzahl der Räder musste über einem ganz spezifischen Wert liegen

An diesem Tag in Warschau hatte es sehr stark geregnet und die Landebahn stand völlig unter Wasser => Aquaplaning! Aus diesem Grund konnten die Räder des Flugzeugs keine entsprechende Anfangsgeschwindigkeit aufnehmen, denn sie sind quasi über den Wasserfilm ohne nennenswerte Reibung „gesurft“! Sehr wahrscheinlich stand auch der Pilot noch „auf der Bremse“, so dass die Räder vielleicht sogar still gestanden haben. Die Sensoren sendeten ordungsgemäß, dass die Räder noch keine Drehzahl haben, die über dem festgelegten Zielwert lagen und so wurde die Anforderung des Piloten nach Umkehrschub NICHT umgesetzt. Ergebnis: Keine Bremswirkung über die Räder und natürlich auch keinerlei Bremswirkung über den Umkehrschub! Die Auswirkung kann sich jeder vorstellen...


Sie möchten Ihre Erfahrung, Ihre Meinung dazu mitteilen? Sie haben Fragen dazu? Senden Sie uns gern eine E-Mail. Wir antworten gern per Mail, auf dem Postweg oder telefonisch.

Wo gibt es ein Seminar dazu?

Feste Termine finden Sie auf der Termineseite.
Selbstverständlich bringen wir den Experten auch zu Ihnen inhouse - fragen Sie uns einfach per Formular. Gerne berücksichtigen wir auch Ihre Vorschläge.

Einen Überblick über mögliche Seminarinhalte ist auf der Seite QM-Seminar ISO 26262 zusammengestellt.


i-QlibriDiese Seite twittern (vorher angemeldet sein bei Twitter)
 
 Nach oben

© 1998-2012 - i-Q Schacht & Partner Qualitätskonstruktion -