Guten Tag, eine Frage an die Leute mit FuSi Erfahrung. Angenommen eine Anwendung soll nach ASIL B(D) entwickelt werden und die Kernkomponente der Anwendung ist ein Sensor, welcher Messwerte sammelt und an einen Controller zur Auswertung weitergibt. Ist nun kein Sensor verfügbar, der für eine ASIL B Anwendung geeignet ist, können dann hierfür zwei identische QM Sensoren verwendet werden? Die Messwerte der beiden Sensoren können dann vom Controller auf Plausibilität geprüft werden. Abhängig der Sensorwerte kann ein Safety Goal verletzt werden. Also Dekomposition von einem ASIL B Sensor auf zwei QM Sensoren? Vielen Dank.
Wen zwei identische Sensoren verbaut sind, die in Kombination ein Signal in ausreichender Güte bereitstellen können, warum wird dann noch ein dritter Sensor verbaut? Das macht für mich jetzt einfach keinen Sinn für Daten die es schon gibt noch einen weiteren Sensor einzusetzen.
:
Bearbeitet durch User
Wenn du eine Methode hast den commen cause failure zu vermeiden, gehen auch zwei ASIL A (D) Sensoren.
Nicht mit identischen Sensoren. Können ja beiden zur gleichen Zeit den gleichen falschen Wert anzeigen, weil in beiden der gleiche Fehler ist. Dann nützt die Plausibilisierung nichts. Wenn dann zwei verschiedene Sensoren die am besten unterschiedlich funktionieren.
ich schrieb: > Wenn du eine Methode hast den commen cause failure zu vermeiden, gehen > auch zwei ASIL A (D) Sensoren. Dabei aber auch an die Versorgung denken. -> 2 unabhängige / überwachte Sensor-Versorgungen -> 2 getrennte Masse-Pins (Leitungsabfall). Ein common cause Fehler könnte auch ein Kurzschluß zwischen beiden Signal-Leitungen sein. -> in der Regel werden unterschiedliche Kennlinien für die beiden Sensoren verwendet um diesen Fehler erkennen zu können. -> meistens sind keine 100% identischen Sensoren möglich. Natürlich müssen neben der Plausibilität auch alle Einzelfehler sowohl auf der Versorgung als auch auf der Signal-Leitung erkannt werden können. (Leitungsabfall, Kurzschluss gegen Masse, Kurzschluss gegen Batterie) Dto für Leitungsabfall Masse. Die erkannten Einzelfehler erfordern geeignete Ersatzreaktionen (Sicherheitsziel) des Systems. Gruß Anja
Hallo, hier geht aber einiges Durcheinander: 1.) Es gibt erst einmal keinen "ASIL B" oder "ASIL QM" Sensor, es sei denn, er ist als Safety Element Out Of Context (SEOOC) mit ASIL B qualifiziert worden (eher selten). 2.) Es gibt Sicherheitsziele, die hier mit ASIL B(D) erfüllt werden müssen. Dazu wird eine (oder mehrere) Sicherheitsfunktion entwickelt, die (zusammen) die Anforderungen des Sicherheitszieles erfüllen muss/müssen. 3.) Bestandteil dieser Anforderungen sind Aussagen zur kritischen Fehlerrate, zur Latentfehlererkennung und zum diagnostischen Deckungsgrad. Dazu sieht die ISO 26262-2011 zwei verschiedene Methoden vor, die man wahlweise anwenden kann: Entweder eine Einzelfehlerbetrachtung, oder die Bestimmung der Metriken für das Gesamtsystem. 4.) Wenn die entsprechenden Fehlerraten eingehalten werden, kann auch ein einfacher einzelner Sensor Bestandteil eines ASIL B, C oder D-Systems sein. Erschwerend kommt hier in diesem Fall allerdings hinzu, dass das Gesamtsystem die Anforderungen des übergeordneten ASIL-D-Sicherheitsziels erfüllen muss; damit dürfte die Einzelfehlerbetrachtung nahezu ausgeschlossen sein. Dies liegt daran, dass im Gegensatz zur IEC 61508 bei der ISO 26262 zum Schluss immer das Gesamtsystem betrachtet wird. Eine einfache Substitution (2* ASIL A oder QM für ein ASIL B) ist ohne zusätzliche Nachweise nicht zulässig. Geht man davon aus, dass die Dekomposition korrekt durchgeführt wurde, müssten Dir also von Deinem Auftraggeber Grenzwerte für die kritische Fehlerrate, die Latentfehlermetrik und den diagnostischen Deckungsgrad vorgegeben worden sein (denn nur so kann er sicherstellen, dass die Gesamtfehlerraten und Diagnosemöglichkeiten den ASIL D-Anforderungen entspricht). Falls Du diese Grenzwerte nicht hast, frag nach - später könnte es sonst zu Überraschungen kommen: ASIL B erlaubt z.B. 100 FIT; es kann aber sein, dass andere Teilsysteme ähnliche Systemfehler erzeugen könnten und schon schrumpft Dein "Etat" auf 50 oder 30 FIT. Als Größenordnung: Die Gesamtfunktion ASIL D darf höchstens 10 kritische Fehler alle 10^9 Stunden aufweisen (10 Failures in Time, FIT), bei einer Diagnoseabdeckung von 99%. Dein Teilsystem (ASIL B) darf irgendwo bis 100 kritische Fehler alle 10^9 Stunden bei einer Diagnoseabdeckung von mehr als 90% aufweisen. Der Anteil der diagnostizierbaren Latentfehler darf dabei nicht unter 60% liegen. Diese Fehlerraten und Diagnosemöglichkeiten muss nun Dein System bereitstellen. Wie das geschieht, hängt ganz von den verwendeten Komponenten ab. Es müssen z.B. nicht zwangsweise alle Einzelfehler erkannt werden, wenn z.B. der Einzelfehler nicht zu einem kritischen Ausfall führt oder so selten vorkommt, dass er die kritische Fehlerrate nicht über die Grenze erhöht (und es noch genügend andere diagnostizierte kritische Fehler gibt, so dass mindestens 90% der kritischen Fehler erkannt werden). Wird z.B. ein Sensor mit hochwertigen Diagnosemöglichkeiten verwendet (z.B. eine "intelligente" Hall-Zelle wie die Melexis MLX90372), dann wird keine zusätzliche Redundanz benötigt (die Melexis-Zelle ist sogar als SEOOC ASIL-C-Qualifiziert). Wird hingegen nur ein einfaches Reed-Relais verwendet, so wird man mehrfache Redundanzen benötigen (deutlich mehr als 2 Sensoren), um die Anforderungen zu erfüllen. Zum Schluss musst Du dann noch die entsprechenden Nachweise führen, d.h. eine vollständige quantitative Fehlerbetrachtung mit einer FTA oder einer FMEDA durchführen und die entsprechenden Metriken bestimmen. Dazu musst Du die Ausfallraten jedes einzelnen Fehlermodes kennen oder (über etablierte Standardwerte) abschätzen. Auch das ist nicht ganz trivial - ich hab' schon einmal über ein Jahr mit einem Zulieferer über seine FTA diskutiert, bis sie keine offensichtlichen Fehler mehr aufwies. Wohlgemerkt: der Zulieferer gehört zu den ganz großen Automotive-Electronics-Zulieferern. Damit komme ich zu einem weiteren Problem von Dir: Die Norm schreibt vor, dass nur Mitarbeiter an Sicherheitsthemen arbeiten dürfen, die entsprechende Kenntnisse haben. Damit darfst Du zum jetzigen Zeitpunkt aber nicht ohne "Aufsicht" an diesem Thema arbeiten, da Deine Frage zeigt, dass Du die entsprechenden Kenntnisse nicht besitzt. Tust Du es trotzdem, kannst Du Dich in die persönliche Haftung begeben (straf- und zivilrechtlich). Frage also Deinen Chef nach einer entsprechenden Fortbildung. Schöne Grüße, Martin P.S.: Verweigert Dein Chef die Fortbildung, begibt er sich in die persönliche Haftung...
Martin L. schrieb: > Eine ganze Menge, als dass man hier Sinnvoll zitieren könnte Aber Danke für den ausführlichen Beitrag. Den Fand auch ich interessant und Aufschlußreich, obwohl ich die Frage ja gar nicht gestellt habe.
Martin L. schrieb: > ... 100 kritische Fehler alle 10^9 Stunden ... 10^9 Stunden wären 114000 Jahre - ist irgendwie nur schwer vorstellbar.
Dieter W. schrieb: > Martin L. schrieb: >> ... 100 kritische Fehler alle 10^9 Stunden ... > > 10^9 Stunden wären 114000 Jahre - ist irgendwie nur schwer vorstellbar. Das können auch 114000 verkaufte Fahrzeuge sein, bei denen es hundert potentiell tödliche Unfälle pro Jahr gibt. Klingt schon anders, oder?
Danke für das anschauliche Beispiel. Genau der Bezug hat mir gefehlt.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.