Beratung
Entdecken Sie meinen Beratungsansatz und lernen Sie, wie ich Ihnen helfen kann, Ihre Produktentwicklung im Bereich Funktionaler Sicherheit zu verbessern.
Erster Schritt:
Beratung anfragen
Kontaktieren Sie mich für eine erste Analyse, damit ich Ihre Anforderungen verstehen und eine passende Lösung entwickeln kann.
Zweiter Schritt:
Entwicklung begleiten
Ich unterstütze Sie praxisnah bei der Durchführung sicherheitsrelevanter Projekte nach Normen der Funktionalen Sicherheit.
Dritter Schritt:
Sicherheit gewährleisten
Abschließend prüfe ich die Ergebnisse im Review, um die Basis für ein Assessment bereitzustellen.
Beispiel für die Sicherheitsintegrität von Hardware
Erstellung einer FMEDA nach ISO 26262
Managementübersicht
Zeigen Sie die Konformität Ihres Produkts mit einer umfassenden FMEDA (Failure Mode Effects & Diagnostic Analysis).
Ich unterstütze Sie in vier Phasen bei der Durchführung und Evaluierung, um die Einhaltung der ISO 26262-Anforderungen zu gewährleisten und Ihre Risiken zu minimieren.
Phase 1: Analyse der aktuellen Ausgangslage
Ich prüfe Ihre bestehenden Dokumente und identifiziere, was für eine erfolgreiche FMEDA benötigt wird. Im Falle offener Themen erstelle ich gleichzeitig einen Maßnahmenplan zur Komplettierung der benötigten Dokumente.
Phase 2: Analyse des Designs
Identifizieren Sie potenzielle Schwachstellen in Ihrem Design durch eine gründliche Untersuchung Ihrer Systemarchitektur, Ihres Hardware-Designs und der zugrundeliegenden Anforderungen.
Phase 3: FMEDA-Erstellung
Auf Basis der Analyse erstelle ich eine detaillierte FMEDA und berechne wichtige Sicherheitskennzahlen (PMHF, SPFM, LFM), die für die Einhaltung der ISO 26262 entscheidend sind.
Phase 4: Evaluierung & Maßnahmen
Ich bewerte die Ergebnisse und definiere konkrete Maßnahmen zur Verbesserung der Sicherheit Ihres Produkts, um die Anforderungen des ASIL-Levels zu erfüllen.
Technische Übersicht
Phase 1: Analyse der aktuellen Ausgangslage
Als Voraussetzung zur Durchführung einer FMEDA für Ihr Produkt werden detaillierte Informationen aus Ihrer Produktentwicklung benötigt. Ich unterstütze Sie dabei, die notwendigen Informationen ganzheitlich zusammenzustellen. Im Falle offener Themen erstelle ich gleichzeitig einen Maßnahmenplan zur Komplettierung der benötigten Dokumente. Ein Beispiel für eine solche Maßnahme ist die Vervollständigung der Dokumente für die Systemarchitektur.
Folgende Informationen werden für die Analyse des Designs benötigt:
- Item Definition (oder SEooC- Definition (Safety Element out of Context))
- Definition der Safety Goal(s) mit dazugehörigen ASIL level(s)
- Hardware Architecture Design (z.B. Block Level Diagramm)
- FMEA für die Hardwarearchitektur auf Blocklevelebene
- Definition der Safety-Mechanismen (Diagnosefunktionen)
- Schaltpläne (detailliertes HW Design)
- Stückliste BOM (Bill of Materials)
Phase 2: Analyse des Designs
- Überprüfung von Schaltplänen und Stücklisten
- Evaluierung des Produkts auf Architekturebene (Blockleveldiagramme)
- Analyse der FMEA
- Ermittlung/Erstellung einer Abbildung zwischen Systemarchitektur und FMEA
- Entscheidung darüber, ob die FMEA auf Bauteilebene oder auf Blocklevelebene durchgeführt wird
- Prüfung, ob die Struktur der FMEA in der FMEDA übernommen werden kann
- Analyse der Dokumente des Microcontrollers
Phase 3: FMEDA-Erstellung
- Prüfung der FMEA
- Prüfung der Safety-Mechanismen (SMs) und der jeweilig zugehörenden „Intended Functions“ (IF)
- Abbildung der SMs und IFs auf die Hardwarearchitektur
- Ermittlung der Fehlerraten aller sicherheitsrelevanten Bauteile aus der Stückliste (BOM), beispielsweise mittels Siemens SN 29500. Berücksichtigung des Mission Profiles für die Temperatur
- Erstellung der Grundstruktur der FMEDA auf Basis von Systemarchitektur, Schaltplänen und Stückliste (BOM)
- Definition der Fehlermodi (Failure Modes) der einzelnen Blöcke (Baugruppen)
Für jedes Safety Goal wird die Bewertung und Kategorisierung aller Failure Modes hinsichtlich der Verletzung des jeweiligen Safety Goals erstellt.
Unter Berücksichtigung der ermittelten Fehlerraten der Bauteile aus der BOM und der Kategorisierung der Failure Modes werden die drei Größen PMHF, SPFM und LFM berechnet
Phase 4: Evaluierung, Abschlussbericht und Maßnahmen
- Erstellung eines Abschlussberichts inklusive Dokumentation aller Arbeitsschritte zur Erstellung der FMEDA
- Die errechneten Werte PMHF, SPFM und LFM werden hinsichtlich der Erfüllung der Zielwerte gemäß ASIL-Level evaluiert
- Erstellung einer konkreten Maßnahmenliste, um die Zielwerte zu erreichen. Beispielsweise kann der Austausch von Elektrolytkondensatoren durch Ausführung mit erhöhter Spannungsfestigkeit zu einer signifikanten Reduzierung der Fehlerrate führen.
Die Rolle der FMEDA
In der Produktentwicklung nach Standards der Funktionalen Sicherheit wie IEC 61508 oder ISO 26262 sind generell zwei Aspekte der Sicherheitsintegrität des Produkts zu zeigen. Dabei spielt die FMEDA eine wichtige Rolle in Punkt 2.
- Qualitativ: Systematische Sicherheitsintegrität
(auch SC = „Systematic Capability“ )
Bedeutung:
Die systematische Sicherheitsintegrität zeigt, dass Ihr Entwicklungsprozess robust ist und daß die Wahrscheinlichkeit für Fehler aufgrund von Designfehlern oder Prozessproblemen minimiert ist.
Nachweis:
Dies ist im Wesentlichen ein Management-Thema, da es um den Nachweis eines klar definierten und gelebten Entwicklungsprozesses geht, den sogenannten „Safety Lifecycle“. - Quantitativ: Hardware-Fehlertoleranz
Bedeutung:
Die Hardware-Fehlertoleranz beschreibt die Fähigkeit des Systems, Ausfälle der Hardware (zufällige Hardwarefehler) zu bewältigen, ohne unbeabsichtigten Schaden zu verursachen.
Nachweis:
Die FMEDA ist ein bedeutendes Werkzeug zum Nachweis der Anforderungen an die Hardware-Fehlertoleranz. Die Standards der Funktionalen Sicherheit fordern quantitative Zielwerte, abhängig vom Sicherheitsintegritätslevel (ASIL/SIL).
Dies sind nach ISO 26262: PMHF, SPFM und LFM
nach IEC 61508: PFH/PFD und SFF
(siehe Glossar)
Somit ist die FMEDA ist ein wichtiger Schritt zur Erbringung des Nachweises zur Erfüllung der Anforderungen an die hardwareseitige Fehlertoleranz gemäß relevanter Sicherheitsstandards.
Glossar
Management & Safety Lifecycle
| FSM | Functional Safety Management |
| ASIL | Automotive Safety Integrity Level {A, …, D} gibt das Risikolevel einer sicherheitsrelevanten Funktion im Fahrzeug an. Mit D als höchstem Wert gibt der ASIL die Stringenz der Maßnahmen in einer Entwicklung nach ISO 26262 vor. |
| SIL | Safety Integrity Level {1, …, 4} gibt das Risikolevel einer sicherheitsrelevanten Funktion an. Mit 4 als höchstem Wert gibt der SIL die Stringenz der Maßnahmen in einer Entwicklung nach z.B. IEC 61508 vor. |
| HaRa | Hazard analysis & Risk assessment Die Risikoanalyse hat den SIL oder in Automotive den ASIL als Ergebnis. |
| SEooC | Safety Element out of Context |
| SRS | Safety Requirement Specification |
| SC | Systematic Capability |
| SG | Safety Goal |
| FSR | Functional Safety Requirement |
| FSC | Functional Safety Concept |
| TSR | Technical Safety Requirement |
| TSC | Technical Safety Concept |
| FMEA | Failure Mode & Effects Analysis |
| FIT | Fault Insertion Test |
| FSA | Functional Safety Assessment |
FMEDA
| FMEDA | Failure Mode Effects & Diagnostic Analysis |
| DC | Diagnostic Coverage Maß für die Güte eines Safety Mechanism (SM) |
| HFT | Hardware Fault Tolerance Maß für die Redundanz |
| FIT | Failure In Time Maß für Fehlerraten von Bauteilen Einheit: 1 FIT = 1 Fehler / 109h |
| IF | Intended Function ausführende Funktion, die sicherheitsrelevant ist |
| SM | Safety Mechanism Funktion, die eine „Intended Function“ überwacht, Fehler in dieser identifiziert und das Versagen der übergeordneten Sicherheitsfunktion verhindert |
PMHF (Einheit: 1/109h)
Beschreibung:
Quantitativer Wert für die Wahrscheinlichkeit der Verletzung eines Sicherheitsziels, bedingt durch zufällige Hardwareausfälle.
Bedeutung:
Der Wert zeigt, ob das Risiko einer Sicherheitszielverletzung in Bezug auf den zugewiesenen ASIL-Level ausreichend gering ist.
SPFM (Einheit: %)
Beschreibung:
Entspricht dem Anteil der „sicheren“ Fehler. Diese setzen sich zusammen aus
- den Fehlern, die zu einem sicheren Ausfall führen
- den Fehlern, die unmittelbar zu einem gefährlichen Ausfall führen würden, wenn keine dezidierten technischen Maßnahmen zur Vermeidung der gefährlichen Konsequenzen dieses Aufalls implementiert wären. Diese Maßnahmen sind im Wesentlichen Diagnose und Redundanz
Bedeutung:
Somit ist die SPFM ein Maß für die Qualität der Abdeckung durch Diagnosefunktionen (Safety-Mechanismen) und/oder Redundanz. Oder auch: Grad der Abdeckung von „Single Point Fehlern“ durch Sicherheitsmechanismen.
Single Point Fault
Fehler, der unmittelbar zu einem gefährlichen Ausfall führt, da kein Sicherheitsmechanismus existiert.
LFM (Einheit: %)
Beschreibung:
entspricht dem Anteil der „sicheren“ Fehler Bezüglich der Multiple-Point Fehler. Die Single-Point Fehler werden nicht betrachtet. Hier geht es somit um den Abdeckungsgrad der Sicherheitsfunktionen, um Gefahr zu verhindern, die aus latenten Fehlern hevorgeht.
Kontaktieren Sie mich …
…per E-Mail
…oder buchen Sie unkompliziert einen kurzen Kennenlerntermin mit mir für Ihre Sicherheitsfragen. Ich freue mich auf unser Gespräch.