Cartoon zeigt die kleinen i-Q-Mitarbeiter Ingenieur, Chef und Arbeiter am Flipchart | © © i-Q Schacht & Kollegen Qualitätskonstruktion GmbH
FuSi-Cartoon: Kleine i-Q-Mitarbeiter - Ingenieur, Chef und Arbeiter am Flipchart © i-Q Schacht & Kollegen Qualitätskonstruktion GmbH

Definition

Da die ASIL-Dekomposition ein ganz zentrales Thema der ISO 26262 darstellt, ist ihr auch ein eigenes Kapitel (Kapitel 9 - ASIL) gewidmet.

Als Definition der Dekomposition steht in der ISO 26262:2018 in Kapitel 1, 3.2 ASIL decomposition: "apportioning of redundant safety (3.132) requirements to elements (3.41), with sufficient independence
(3.78), conducing to the same safety goal (3.139), with the objective of reducing the ASIL (3.6) of the redundant safety (3.132) requirements that are allocated to the corresponding elements (3.41)"

Und übersetzt ins Deutsche: "Aufteilung redundanter Sicherheitsanforderungen auf Elemente mit ausreichender Unabhängigkeit, die zum gleichen Sicherheitsziel führen, mit dem Ziel, den ASIL der redundanten Sicherheitsanforderungen zu reduzieren, die den entsprechenden Elementen zugeordnet sind."

Und was sagt der Duden zu Dekomposition?
"die Dekomposition - Abbau, Aufgliederung, Auflösung"

Die Mathematik der Dekomposition

Die richtige Dekomposition lässt sich durch eine ganz einfache mathematische Formel wiedergeben, in der folgende Vereinbarungen gelten:
QM (X) wird ersetzt durch 0
ASIL A(X) wird ersetzt durch 1
ASIL B(X) wird ersetzt durch 2
ASIL C(X) wird ersetzt durch 3
ASIL D(X) wird ersetzt durch 4

Die Formel:

Die Summe der dekomponierten Elemente muss gleich dem Wert der ursprünglichen Einstufung sein.

Also sind diese „Rechenwege“ korrekt:
ASIL neu1 + ASIL neu2 = ASIL alt
ASIL C(D) + ASIL A(D) = ASIL D
3 + 1 = 4

ASIL D = ASIL C(D) + ASIL A(D)
4 = 3 + 1

ASIL C = ASIL A(C) + ASIL A(C) + ASIL A(C)
3 = 1 + 1 + 1

Grafik zeigt ASIL A ist nicht ASIL B als Ungleichung dargestellt | © © i-Q Schacht & Kollegen Qualitätskonstruktion GmbH
Grafik: ASIL-A-ist-nicht-ASIL-D © i-Q Schacht & Kollegen Qualitätskonstruktion GmbH
Bild herunterladen

Das große ABER … oder: Es könnte so einfach sein!

Es gilt immer zu berücksichtigen, dass zum Beispiel ein ASIL A(D) keinesfalls einem ASIL A entspricht. Das bedeutet:

  1. Wenn für die dekomponierten Elemente gleiche Teile bzw. gleiche Software verwendet werden sollten, dann müssen die abhängigen Fehler analysiert werden, um systematische Fehler aufzudecken.
  2. Die Hardware Metriken für die Architektur und auch die zufälligen Hardwarefehler, die zu einer Verletzung des Sicherheitszieles führen könnten, bleiben für die Gesamtfunktion identisch!
  3. Für die dekomponierten Elemente muss eine ausreichende Unabhängigkeit gezeigt werden. Das bezieht sich auf folgende Bereiche:
    • criteria for co-existence
    • freedom from interference
    • cascading failures
    • dependent failures
    • common cause failures
  4. Die folgenden Anforderungen müssen mit den ursprünglichen Anforderungen des Sicherheitszieles auch auf alle dekomponierten Elemente angewendet werden:
    • Confirmation measures in accordance with ISO 26262-2, 6.4.7 (gemäß ISO 26262-9, Kapitel 5.4.11 a)
    • Integration activities and subsequent activities (gemäß ISO 26262-9, Kapitel 5.4.14 und ISO 26262-5 Kapitel 10.4.2)
    • Hardware metric analysis (gemäß ISO 26262-9, Kapitel 5.4.13)
  5. Wenn ein ASIL D dekomponiert werden sollte, dann müssen alle dekomponierten Elemente den Vorgaben für ASIL C genügen. Dies gilt für folgende Bereiche:
    • Semi-formal notation (gemäß ISO 26262-9, Kapitel 5.4.12 a)
    • Software tool qualification (gemäß ISO 26262-9, Kapitel 5.4.12 b)

Dekomposition oder Überwachung

Das ist eine ganz entscheidende Frage: Wann ist es eine Dekomposition und wann handelt es sich um eine Überwachung?

Bei der Dekomposition müssen beide Elemente in Bezug auf das Sicherheitsziel redundant ausgelegt sein. So muss zum Beispiel sowohl der Hauptrechner als auch der Sicherheitsrechner bei zu hoher Spannung/zu hohem Strom/zu hohem Drehmoment/… unabhängig voneinander in den Safe State schalten können.

Bei einer Überwachung teilt das Diagnose-Element dem Hauptrechner lediglich mit, dass etwas nicht in Ordnung ist - aber nur der Hauptrechner kann das System in den Safe State überführen!

Und nun viel Spaß beim Dekomponieren! Bei Fragen können Sie gern eine E-Mail an den Autor schicken.
Autor: Dipl.-Ing. Jörg Schacht (Geschäftsführender Gesellschafter der i-Q GmbH), Schwaig bei Nürnberg