kleine i-Q Mitarbeiter Grafik chef_Ing1

Funktionale Sicherheit (FuSi) – die ASIL-Klassifikation ...

Was sich anhört wie ein Waschmittel, hat eine wichtige Bedeutung innerhalb der Funktionalen Sicherheit. Worum geht es bei der ASIL-Klassifikation? Grundsätzliches ist als Antwort auf diese Frage in einer kleinen Übersicht zusammengestellt.

Die ASIL-Klassifikation setzt sich ähnlich wie die RPZ in der FMEA-Betrachtung aus drei verschiedenen Faktoren (in diesem Fall besser Summanden) zusammen. Dabei handelt es sich um:

  • „Severity - S“ (Schwere des Fehlers, Gefährdung des Nutzers oder der Umgebung)

    • S0: keine Verletzungen (unverletzt)
    • S1: leichte bis mittelschwere Verletzungen (Arm verletzt)
    • S2: schwere Verletzungen, Überleben aber sehr wahrscheinlich (Arm ab)
    • S3: schwerste Verletzungen, Überleben unwahrscheinlich (Kopf ab)

  • „Exposure - E“ (Eintrittswahrscheinlichkeit, d.h. Häufigkeit und / oder Dauer des Betriebszustands)

    • E1: seltenes Auftreten (Liegenbleiber auf dem Bahnübergang)
    • E2: gelegentliches Auftreten (Fahren mit Anhänger oder Dachgepäckträger)
    • E3: häufiges Auftreten (Tanken des Fahrzeugs, nasse Straße)
    • E4: ständiges Auftreten (Beschleunigen, Bremsen, Lenken)

    Außerdem wird beim Faktor Exposure noch nach zwei Parametern unterschieden: Duration (Dauer des Auftretens der Fahrsituation) und Frequency (Frequenz des Auftretens der Fahrsituation).

  • „Controllability - C“ (Beherrschbarkeit des Fehlers)

    • C0: sichere Beherrschung (alle Fahrer beherrschen diese Situation, z.B. ungewollte Erhöhung der Radiolautstärke)
    • C1: einfache Beherrschbarkeit (mehr als 99% der Fahrer können die Situation beherrschen, z.B. Lenksäule beim Start des Fahrzeugs eingerastet)
    • C2: normale Beherrschbarkeit (mehr als 90% der Fahrer können die Situation beherrschen, z.B. Ausfall des ABS während einer Notfallbremsung)
    • C3: schwierige Beherrschbarkeit (weniger als 90% der Fahrer beherrschen die Situation, z.B. plötzlich auftretende hohe Lenkkräfte)

Diese drei Summanden sind weiter aufgegliedert über Parameter (z.B. S0, S1 etc.). Über einen Risikographen ergibt sich aus allen drei Summanden die „ASIL-Klassifikation“: die Bestimmung der ASIL-Level (Tabelle).

ASIL Level Herleitung in der Übersicht

[Tabelle gemäß ISO 26262-3, – Herleitung der ASIL-Levels über den Risikograph]

Die Rechenanleitung dafür ist recht einfach: Man zähle die Zahlen nach den Buchstaben (zum Beispiel S3 / E4 / C3) zusammen und erhält in diesem Fall 10 Punkte. Da es sich um den schlimmsten Fall handelt (in allen drei Kategorien die höchste Punktzahl), steht diese Bewertung für ASIL D.

  • 10 Punkte => ASIL D
  •   9 Punkte => ASIL C
  •   8 Punkte => ASIL B
  •   7 Punkte => ASIL A

Dabei gilt es allerdings eine Ausnahme zu berücksichtigen: S0 / E4 / C3 ergibt nach dieser Rechnung auch 7 Punkte, ist aber im Grafen nur als QM eingestuft. Das resultiert daraus, dass bei einem S0 keine FuSi-Relevanz vorliegt, denn S0 steht für "keine Verletzungen".

Aus den ASIL-Levels werden nun verschiedene Klassen abgeleitet, die sich unter anderem auf die zulässigen Ausfallwahrscheinlichkeiten beziehen:

  • ASIL A:

    • empfohlene Ausfallwahrscheinlichkeit kleiner 10-6 / Stunde, entspricht einer Rate von 1.000 Fit

  • ASIL B:

    • empfohlene Ausfallwahrscheinlichkeit kleiner 10-7 / Stunde, entspricht einer Rate von 100 Fit

  • ASIL C:

    • geforderte Ausfallwahrscheinlichkeit kleiner 10-7 / Stunde, entspricht einer Rate von 100 Fit

  • ASIL D:

    • geforderte Ausfallwahrscheinlichkeit kleiner 10-8 / Stunde, entspricht einer Rate von 10 Fit

Hinzu kommen noch für alle Entwicklungsdisziplinen wie System, Hardware, Software die ASIL-abhängigen Anforderungen für Architektur, Coding, Test usw. Dabei gilt zu beachten, dass der Sprung in den Anforderungen zwischen B und C besonders groß ist, da ab ASIL C in der Regel zweikanalige Architekturen erforderlich werden und die Zuverlässigkeitsanforderungen verpflichtend sind. Das QM-Kriterium bedeutet, dass in diesem Falle die Maßnahmen ausreichend sind, die in einem normalen Qualitätsmanagement-System (ISO/TS 16949) gefordert werden.

Aus den ASIL-Levels A, B, C oder D ergeben sich dann die Anforderungen an das zu entwickelnde Produkt / Baugruppe / Einzelteil.
Sehen Sie hier einige kleine Beispiele (hängt immer vom konkreten Einsatzbereich ab!):

  • keine Beschleunigung bei Fahreranforderung
    ==> ASIL A
  • Selbstbeschleuniger
    ==> ASIL C
  • Bremsversagen ==> ASIL D
  • Selbstlenker ==> ASIL D

Flipchart mit Seminaragenda

 

Einen Überblick über mögliche Seminarinhalte ist auf der Seite FuSi-Seminar ISO 26262 zusammengestellt.

Feste Termine finden Sie auf der Termineseite.

Selbstverständlich bringen wir den Experten auch inhouse zu Ihnen - fragen Sie uns einfach per Formular. Gerne berücksichtigen wir auch Ihre Vorschläge.

Sie haben Fragen dazu? Sie möchten uns Ihre Meinung, Ihre Erfahrungen mitteilen? Senden Sie uns einfach eine E-Mail. Wir antworten per Mail, auf dem Postweg oder telefonisch.