Hallo zusammen, ich beschäftige mich gerade mit dem Thema ASil (Automotive Safety Integrity Level). Wir entwickeln z.Zt. unsere Zentralsteuerung neu und einer unser wichtigsten OEMs möchte, dass wir unser Produkt nach A-Sil zertifizieren. Mein Fokus liegt momentan an den Softwareanforderungen. Gibt es eine Darstellung, welches die Basisanforderungen für die Software festlegt? Lese mich momentan in die ISO 26262 ein und da sind die Themen sehr allgemein gehalten. Würde mich über Eure Erfahrungen freuen. Danke und Gruß Maker123
Maker123 schrieb: > Basisanforderungen für die Software Habt ihr eine "Hazard and Risk Analysis" gemacht? Daran hängt erstmal, welchen Level QM,A,B,C,D ihr für welche Funktion braucht. Damit kommen dann verschieden gestufte Prozess- und Implementierungs-Anforderungen. mfg mf
So weit sind wir noch nicht in der Thematik. Unsere Vorgabe ist, dass unsere Steuerung keine unerwartete Beschleunigung auf die Motoren ausübt. Dies ist laut OEM nach ASil klassifiziert.
Maker123 schrieb: > Unsere Vorgabe ist, dass unsere Steuerung keine unerwartete > Beschleunigung auf die Motoren ausübt Dann hat der OEM bereits eine HARA mit genau den Ergebnis, was du schriebst, gemacht. Frag' ob sie eine HARA für euch haben. Glückwunsch zum ersten aus eurer Sicht "Top-Level Safety Requirement". Welcher ASIL-Level ist da drauf? Wie würde sich ein derartiger Fehler im normalen Betrieb (kein Misuse oder Abuse) des Vehikels auf die Insassen und andere Verkehrsteilnehmer auswirken? Dazu gibt es in der 26262 nette Tabellen, wie da zu klassifizieren ist. Welche FTTI ist veranschlagt? mfg mf
Das nötige ASIL-Level zu wissen ist aber extrem wichtig. Bin da "paar Tage" raus, aber wenn ich das noch richtig im Kopf habe: Wer vernünftig Software entwickelt und den Prozess dokumentiert hat QM im Normalfall erreicht. ASIL-D als anderes Extrem schreibt dir seeeeeeehr viel vor. Da musst den ganzen Entwicklungsprozess darauf ausrichten.
Maker123 schrieb: > Mein Fokus liegt momentan an den Softwareanforderungen. Gibt es eine > Darstellung, welches die Basisanforderungen für die Software festlegt? Was sind für die "Basisanforderungen"? Es gibt u.a. Anforderungen an den Software-Entwicklungsprozess (Ziel: Systematische Fehler zu minimieren). Der Umgang der Maßnahmen ist abhängig vom ASIL Level. Daher ist es sinnvoll frühzeitig zu wissen welche ASIL Einstufung man umsetzen will. Habt Ihr Leute in der Firma, die Safety und speziell 26262 schon einmal gemacht haben? Ansonsten holt euch externes Knowhow. Alles ist machbar, aber es gibt viele Fallstricke.
Danke schon mal für Eure Nachrichten und Erfahrungen, das hilft mir enorm, um den notwendigen Umfang zu ermitteln. Achim M. schrieb: > Welcher ASIL-Level ist da drauf? Klassifiziert nach ASil-A Achim M. schrieb: > Welche FTTI ist veranschlagt? Ist noch nicht diskutiert, nehme ich in meine ToDo Liste auf. Marc schrieb: > Habt Ihr Leute in der Firma, die Safety und speziell 26262 schon einmal > gemacht haben? Leider nein.
ASIL-A, das ist schonmal gut. Ein existierendes Design ist auch sehr hilfreich. Das habt ihr aber wohl bereits. Jetzt kommt ihr in die Phase der Safety-Analysen. Hierzu gibt es in der 26262 nette Tabellen, die nötige Analysen und Maßnahmen definieren. Für ASIL A brauchst du eine induktive Analyse (=bottom-up) auf das gesamte Design. Hier identifizierst du, welche Singlepoint- und evtl. Multipoint-Faults zu einer Verletzung des/der Top-Level Safety Requirements führen. ... holt euch einen Experten ins Haus. Grüße, Joachim
:
Bearbeitet durch User
Nach welchem Spice Level entwickelt ihr denn überhaupt? Welches ASIL Level muss erreicht werden? Davon hängt ja ab, ob ein Prozessor, eine Sprache und ein Kompiler überhaupt ausreichen. Autosar ist in dem Kontext auch oft gerne vom Kunden gewünscht, wenn das ASIL Level hoch genug wird.
Chris K. schrieb: > Davon hängt ja ab, ob ein Prozessor, eine Sprache und ein Kompiler > überhaupt ausreichen. ASIL A wurde bereits genannt. A-Spice kann es nie zuwenig sein, Level2 sollte es wegen traceability schon sein. Prozessor, äh, da gibt es auch ohne Lockstep oder zweiter μC Möglichkeiten, sowas wird aber erst bei ASIL C und D relevant. mfg mf
Ah ASIL-A, hab ich wohl überlesen. Da steht man ja nur mit einem Bein im Gefängnis. Also alles ganz entspannt. Da passen die Informationen von Achim schon recht gut. Also Fehlerfall definieren. Überlegen was alles zum Fehlerfall führen kann und dann die entsprechenden Gegenmaßnahmen benennen und am besten mit Testfällen absichern. Anforderungen an die SW ergeben sich schon aus dem Spice Level heraus. Schick wäre natürlich Level 3, aber da haben schon ganz andere Zulieferer ihre Probleme mit. Ansonsten natürlich Dokumentation ordentlich Pflegen, FMEA machen und alles sicher abspeichern. Am besten wäre wohl wirklich, dass ihre einen Externen FuSi-Manager mit ins Boot holt, wenn es den bei euch in der Firma noch nicht gibt.
Maker123 schrieb: > Klassifiziert nach ASil-A Maker123 schrieb: > dass unsere Steuerung keine unerwartete > Beschleunigung auf die Motoren ausübt. Ungewollte Beschleunigung ist aber ASIL-B. Da paßt etwas nicht zusammen. Maker123 schrieb: > Wir entwickeln z.Zt. unsere Zentralsteuerung neu Was hängt denn da an Sensoren dran die eine ungewollte Beschleunigung erzeugen können? (Fahrpedal, Bremse, Drehzahlregler (Geschwindigkeitsregelanlage?), CAN-Bus mit Momenteneingriff) Im EGAS-Lastenheft 6.0 stehen einige Hinweise (für Motorsteuergeräte) die zeigen welche Sensoren im Fehlerfall welche Ersatzreaktonen auslösen sollen. http://docplayer.org/14425095-Standardisiertes-e-gas-ueberwachungskonzept-fuer-benzin-und-diesel-motorsteuerungen.html Auf der anderen Seite: manche OEMs legen so ein Lastenheft sogar bei einer Lüftersteuerung bei. Gruß Anja
Anja schrieb: > Maker123 schrieb: > >> Klassifiziert nach ASil-A > > Maker123 schrieb: > >> dass unsere Steuerung keine unerwartete >> Beschleunigung auf die Motoren ausübt. > > Ungewollte Beschleunigung ist aber ASIL-B. > Da paßt etwas nicht zusammen. Hast du die HARA vorliegen? Anja schrieb: > Maker123 schrieb: > >> Wir entwickeln z.Zt. unsere Zentralsteuerung neu > > Was hängt denn da an Sensoren dran die eine ungewollte Beschleunigung > erzeugen können? (Fahrpedal, Bremse, Drehzahlregler > (Geschwindigkeitsregelanlage?), CAN-Bus mit Momenteneingriff) Nur mit Sensoren und externe Eingriffpunkte absichern ist das Thema nicht erledigt. mfg mf
Achim M. schrieb: > Hast du die HARA vorliegen? Das Lastenheft hast Du nicht gelesen? (Seite 10). Ist also "Stand der Technik" Achim M. schrieb: > Nur mit Sensoren und externe Eingriffpunkte absichern ist das Thema > nicht erledigt. Natürlich nicht. Aber Zentralsteuergerät ist ein weiter Begriff. Das muß nicht unbedingt einen Durchgriff auf die Motorbeschleunigung haben. Gruß Anja
Nur ein kleiner Hinweis: Nur Funktionen bzw. Funktionsgruppen kann man eine ASIL Klasse zuweisen, aber nicht dem gesamten Gerät. Es kann durchaus sein, dass einzelne Funktionsgruppen nach ASIL-A spezifiziert sind, andere müssen ASIL-C erfüllen. Beispiel: im Stand ist das verriegeln der Türe ASIL A, während der Fahrt kann auch ASIL C gefordert sein.
Tester schrieb: > Nur Funktionen bzw. Funktionsgruppen kann man > eine ASIL Klasse zuweisen, aber nicht dem gesamten Gerät. Anscheinend ist dem TO gar nicht klar, um was es eigentlich geht. Es kann daher durchaus sein, dass der Auftraggeber das Gerät nach einer ASIL-Klasse haben möchte, genauer gesagt: Eine Steuerung mit einem Handbuch, die es ermöglichen, Funktionen nach ASIL-X zu realisieren, indem die entsprechenden Ausfallwahrscheinlichkeiten und Sicherheiten quantifiziert und beschrieben sind.
Anja schrieb: > Achim M. schrieb: > >> Hast du die HARA vorliegen? > > Das Lastenheft hast Du nicht gelesen? (Seite 10). > Ist also "Stand der Technik" Oh, EGAS kenne ich, aber es gibt auch noch andere OEMs als VAG/Porsche und Daimler. Es ist nicht mal klar, ob es um Verbrenner oder Elektromotoren geht. A. S. schrieb: > die entsprechenden > Ausfallwahrscheinlichkeiten und Sicherheiten quantifiziert ASIL A braucht keine quantitativen Safety-Analysen. A. S. schrieb: > Eine Steuerung mit einem Handbuch, die es ermöglichen, Funktionen nach > ASIL-X zu realisieren, Wenn die ein SEooC wollen, warum fragen die nicht gleich danach. Das klärt nämlich nebenher die Frage nach der Systemverantwortung für funktionale Sicherheit. mfg mf
:
Bearbeitet durch User
Achim M. schrieb: > Es ist nicht mal klar, ob es um Verbrenner oder > Elektromotoren geht. ASIL-B deckt erst mal nur die ungewollte Beschleunigung z.B. beim Verbrenner ab. Bei Elektromotoren muß man ggf. zusätzlich noch die "ungewollte Bewegung" betrachten. Dann reicht aber ASIL-B nicht mehr aus. Gruß Anja
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.