Kleiner i-Q-Mitarbeiter Chef zeigt auf etwas

Definition

Da die ASIL-Dekomposition ein ganz zentrales Thema der ISO 26262:2011 darstellt, ist ihr auch ein eignes Kapitel (Kapitel 9 - ASIL) gewidmet.

Als Definition der Dekomposition steht in Kapitel 1:

"apportioning of safety requirements redundantly to sufficiently independent elements (1.32), with the objective of reducing the ASIL (1.6) of the redundant safety requirements that are allocated to the corresponding elements"

(und übersetzt ins Deutsche:)

"Redundante Aufteilung der Sicherheitsanforderungen auf ausreichend unabhängige Elemente, vor dem Hintergrund der Reduzierung der ASIL Einstufungen der redundanten Sicherheitsanforderungen, die auf die entsprechenden Elemente zugewiesen werden".

Und was sagt der Duden zu Dekomposition?
"die Dekomposition - Abbau, Aufgliederung, Auflösung"

Die Mathematik der Dekomposition

Die richtige Dekomposition lässt sich durch eine ganz einfache mathematische Formel wiedergeben, in der folgende Vereinbarungen gelten:
QM (X) wird ersetzt durch 0
ASIL A(X) wird ersetzt durch 1
ASIL B(X) wird ersetzt durch 2
ASIL C(X) wird ersetzt durch 3
ASIL D(X) wird ersetzt durch 4

Die Formel:

Die Summe der dekomponierten Elemente muss gleich dem Wert der ursprünglichen Einstufung sein.

Also sind diese „Rechenwege“ korrekt:
ASIL neu1 + ASIL neu2 = ASIL alt
ASIL C(D) + ASIL A(D) = ASIL D
3 + 1 = 4

ASIL D = ASIL C(D) + ASIL A(D)
4 = 3 + 1

ASIL C = ASIL A(C) + ASIL A(C) + ASIL A(C)
3 = 1 + 1 + 1

ASIL-A-ist-nicht-ASIL-D

Das große ABER … oder: Es könnte so einfach sein!

 

Es gilt immer zu berücksichtigen, dass zum Beispiel ein ASIL A(D) keinesfalls einem ASIL A entspricht. Das bedeutet:

  1. Wenn für die dekomponierten Elemente gleiche Teile bzw. gleiche Software verwendet werden sollten, dann müssen die abhängigen Fehler analysiert werden, um systematische Fehler aufzudecken.
  2. Die Hardware Metriken für die Architektur und auch die zufälligen Hardwarefehler, die zu einer Verletzung des Sicherheitszieles führen könnten, bleiben für die Gesamtfunktion identisch!
  3. Für die dekomponierten Elemente muss eine ausreichende Unabhängigkeit gezeigt werden. Das bezieht sich auf folgende Bereiche:

    • criteria for co-existence
    • freedom from interference
    • cascading failures
    • dependent failures
    • common cause failures

  4. Die folgenden Anforderungen müssen mit den ursprünglichen Anforderungen des Sicherheitszieles auch auf alle dekomponierten Elemente angewendet werden:

    • Confirmation measures in accordance with ISO 26262-2, 6.4.7 (gemäß ISO 26262-9, Kapitel 5.4.11 a)
    • Integration activities and subsequent activities (gemäß ISO 26262-9, Kapitel 5.4.14 und ISO 26262-5 Kapitel 10.4.2)
    • Hardware metric analysis (gemäß ISO 26262-9, Kapitel 5.4.13)

  5. Wenn ein ASIL D dekomponiert werden sollte, dann müssen alle dekomponierten Elemente den Vorgaben für ASIL C genügen. Dies gilt für folgende Bereiche:

    • Semi-formal notation (gemäß ISO 26262-9, Kapitel 5.4.12 a)
    • Software tool qualification (gemäß ISO 26262-9, Kapitel 5.4.12 b)

 

 

Dekomposition oder Überwachung

Das ist eine ganz entscheidende Frage: Wann ist es eine Dekomposition und wann handelt es sich um eine Überwachung?

Bei der Dekomposition müssen beide Elemente in Bezug auf das Sicherheitsziel redundant ausgelegt sein. So muss zum Beispiel sowohl der Hauptrechner als auch der Sicherheitsrechner bei zu hoher Spannung/zu hohem Strom/zu hohem Drehmoment/… unabhängig voneinander in den Safe State schalten können.

Bei einer Überwachung teilt das Diagnose-Element dem Hauptrechner lediglich mit, dass etwas nicht in Ordnung ist - aber nur der Hauptrechner kann das System in den Safe State überführen!

Und nun viel Spaß beim Dekomponieren! Bei Fragen können Sie gern eine E-Mail an den Autor schicken.

Autor: Dipl.-Ing. Jörg Schacht (GF i-Q GmbH), Schwaig b.Nürnberg

Flipchart mit Seminaragenda

 

Einen Überblick über mögliche Seminarinhalte ist auf der Seite FuSi-Seminar ISO 26262 zusammengestellt.

Feste Termine finden Sie auf der Termineseite.

Selbstverständlich bringen wir den Experten auch inhouse zu Ihnen - fragen Sie uns einfach per Formular. Gerne berücksichtigen wir auch Ihre Vorschläge.