Funktionale Sicherheit (FuSi) – die ASIL-Klassifikation ...
Was sich anhört wie ein Waschmittel, hat eine wichtige Bedeutung innerhalb der Funktionalen Sicherheit. Worum geht es bei der ASIL-Klassifikation? Grundsätzliches ist als Antwort auf diese Frage in einer kleinen Übersicht zusammengestellt. (Jörg Schacht, Juni 2016)
Die ASIL-Klassifikation setzt sich ähnlich wie die RPZ in der FMEA-Betrachtung aus drei verschiedenen Faktoren (in diesem Fall besser Summanden) zusammen. Dabei handelt es sich um:
- „Severity - S“ (Schwere des Fehlers, Gefährdung des Nutzers oder der Umgebung)
- S0: keine Verletzungen (unverletzt)
- S1: leichte bis mittelschwere Verletzungen (Arm verletzt)
- S2: schwere Verletzungen, Überleben aber sehr wahrscheinlich (Arm ab)
- S3: schwerste Verletzungen, Überleben unwahrscheinlich (Kopf ab)
- „Exposure - E“ (Eintrittswahrscheinlichkeit, d.h. Häufigkeit und / oder Dauer des Betriebszustands)
Beim Faktor Exposure wird noch nach zwei Parametern unterschieden: Duration (Dauer des Auftretens der Fahrsituation) und Frequency (Häufigkeit des Auftretens der Fahrsituation)- E1: seltenes Auftreten (Liegenbleiber auf dem Bahnübergang)
- E2: gelegentliches Auftreten (Fahren mit Anhänger oder Dachgepäckträger)
- E3: häufiges Auftreten (Tanken des Fahrzeugs, nasse Straße)
- E4: ständiges Auftreten (Beschleunigen, Bremsen, Lenken)
- „Controllability - C“ (Beherrschbarkeit des Fehlers)
- C0: sichere Beherrschung (alle Fahrer beherrschen diese Situation, z.B. ungewollte Erhöhung der Radiolautstärke)
- C1: einfache Beherrschbarkeit (mehr als 99% der Fahrer können die Situation beherrschen, z.B. Lenksäule beim Start des Fahrzeugs eingerastet)
- C2: normale Beherrschbarkeit (mehr als 90% der Fahrer können die Situation beherrschen, z.B. Ausfall des ABS während einer Notfallbremsung)
- C3: schwierige Beherrschbarkeit (weniger als 90% der Fahrer beherrschen die Situation, z.B. plötzlich auftretende hohe Lenkkräfte)
Diese drei Summanden sind weiter aufgegliedert über Parameter (z.B. S0, S1 etc.). Über einen Risikographen ergibt sich aus allen drei Summanden die „ASIL-Klassifikation“: die Bestimmung der ASIL-Level (Tabelle).
Die Rechenanleitung dafür ist recht einfach: Man zähle die Zahlen nach den Buchstaben (zum Beispiel S3 / E4 / C3) zusammen und erhält in diesem Fall 10 Punkte. Da es sich um den schlimmsten Fall handelt (in allen drei Kategorien die höchste Punktzahl), steht diese Bewertung für ASIL D.
- 10 Punkte => ASIL D
- 9 Punkte => ASIL C
- 8 Punkte => ASIL B
- 7 Punkte => ASIL A
Dabei gilt es allerdings zwei Ausnahmen zu berücksichtigen:
- S0 / E4 / C3 ergibt nach dieser Rechnung auch 7 Punkte, ist aber im Grafen nur als QM eingestuft. Das resultiert daraus, dass bei einem S0 keine FuSi-Relevanz vorliegt, denn S0 steht für "keine Verletzungen".
- S3 / E4 / C0 ergibt nach dieser Rechnung ebenfalls 7 Punkte, ist aber im Grafen gar nicht gezeigt. Das resultiert daraus, dass bei einem C0 keine FuSi-Relevanz vorliegt, denn C0 steht für "Alle Fahrer beherrschen diese Situation".
Aus den ASIL-Levels werden nun verschiedene Klassen abgeleitet, die sich unter anderem auf die zulässigen Ausfallwahrscheinlichkeiten beziehen (ist einfach als Beispiel sehr einfach zu erklären, macht aber nur einen kleinen Bruchteil der Anforderungen aus):
- ASIL A: empfohlene Ausfallwahrscheinlichkeit kleiner 10-6 / Stunde, entspricht einer Rate von 1.000 Fit
- ASIL B: empfohlene Ausfallwahrscheinlichkeit kleiner 10-7 / Stunde, entspricht einer Rate von 100 Fit
- ASIL C: geforderte Ausfallwahrscheinlichkeit kleiner 10-7 / Stunde, entspricht einer Rate von 100 Fit
- ASIL D: geforderte Ausfallwahrscheinlichkeit kleiner 10-8 / Stunde, entspricht einer Rate von 10 Fit
Hinzu kommen noch für alle Entwicklungsdisziplinen wie System, Hardware und Software die ASIL-abhängigen Anforderungen für Architektur, Coding, Test usw. Dabei gilt zu beachten, dass der Sprung in den Anforderungen zwischen B und C besonders groß ist, da ab ASIL C in der Regel zweikanalige Architekturen erforderlich werden und die Zuverlässigkeitsanforderungen verpflichtend (hochgradig empfohlen) sind. Das QM-Kriterium bedeutet, dass in diesem Falle die Maßnahmen ausreichend sind, die in einem normalen Qualitätsmanagement-System (IATF 16949) gefordert werden.
Aus den ASIL-Leveln A, B, C oder D ergeben sich dann die Anforderungen an das zu entwickelnde Produkt / Baugruppe / Einzelteil.
Sehen Sie hier einige kleine Beispiele (hängt immer vom konkreten Einsatzbereich ab und kann daher nicht verallgemeinert werden!):
- keine Beschleunigung bei Fahreranforderung:
==> ASIL A - Selbstbeschleuniger:
==> ASIL C - Bremsversagen:
==> ASIL D - Selbstlenker:
==> ASIL D