Eine Einführung in ASIL

Introduction to ASIL

In früheren Beiträgen haben wir eine allgemeine Einführung in den ISO 26262-Standard sowie einen tiefen Einblick in die Fehlermetriken gegeben. Heute werden wir mit Teil 5 des Standards fortfahren und uns mit dem Automotive Safety Integrity Level (ASIL) befassen.

Automotive Safety Integrity Level (ASIL)

Klausel 9 führt uns endlich in das Automotive Safety Integrity Level (ASIL) ein und zeigt, wie es bewertet wird. Ähnlich wie beim IEC 61508 Safety Integrity Level (SIL) besteht das Ziel der ASIL-Berechnung darin, nachzuweisen, dass die Wahrscheinlichkeit zufälliger Ausfälle ausreichend gering ist, um das Sicherheitsziel zu erreichen.

Der ISO-Standard besagt explizit, dass die Bewertung auf zufällige Hardwareausfälle beschränkt ist und systematische Ausfälle vernachlässigt werden. Wie regelmäßige Leser meines anderen Blogs bereits wissen, bin ich stark anderer Meinung und der Meinung, dass systematische Ausfälle qualitativ und quantitativ berücksichtigt werden sollten, soweit dies möglich ist. Aber ich schweife ab…

In Teil 5 werden zwei Möglichkeiten zur Berechnung des ASIL angegeben:

Probabilistic Metric for random Hardware Failures (PMHF)

Dieser Ansatz ähnelt dem IEC 61508-Ansatz für eine hohe Anforderung oder eine kontinuierliche SIF, bei dem eine Ziel-Ausfallwahrscheinlichkeit pro Stunde (PFH) für jede SIL-Stufe angegeben wird. Die ASIL-Ziele sind unten aufgeführt:

asil-bewertung

Beachten Sie, dass für ASIL:

  1. Für ASIL A sind keine quantitativen Ziele oder Berechnungen erforderlich.
  2. Die PFH-Ziele für ASIL B und C sind gleich (andere Anforderungen unterscheiden sich).
  3. Die PFH-Werte für ASIL stimmen nicht genau mit den Zielen für SIL überein. Die ASIL-Ziele sind höher, d.h. ASIL B/C entspricht der PFH für SIL3. ASIL D entspricht SIL4. (Obwohl ASIL A kein quantitatives Ziel hat, geht man wahrscheinlich davon aus, dass es dem SIL2 entspricht, wenn die Risikomatrix linear ist.)
LESEN  Amazon FBA vs. Amazon FBM – Entdecke die Unterschiede!

Da die meisten von uns nicht jeden Tag kontinuierliche SIL-Berechnungen im IEC 61508-Modus durchführen, wird unten die Tabelle für den kontinuierlichen SIL-Modus aus IEC 61508 zur Referenz angezeigt:

IEC 61508-Table

Die probabilistische metrische Bewertung nach ISO 26262 muss quantitativ durchgeführt werden, obwohl der Standard die Methode nicht festlegt. Eine quantitative Fehlerbaumanalyse (FTA) wird als eine Methode vorgeschlagen. Es gibt spezifische Anforderungen, die die Analyse abdecken muss, einschließlich des Konzepts der “Belichtungsdauer”, das in etwa der in SIL-Berechnungen berücksichtigten mittleren Zeit bis zur Wiederherstellung (MTTR) entspricht.

Für höhere ASIL-C- und D-Ziele fordert der Standard, dass ein einzelpunktiger Fehler in einem Hardwareteil nur akzeptabel ist, wenn “spezielle Maßnahmen” ergriffen werden, wobei spezielle Maßnahmen Schritte sind, um die Ausfallrate niedrig zu halten, wie beispielsweise Überdimensionierung, Trennung, Probenentnahme usw. Dieses Konzept ähnelt in gewisser Weise den bewährten Konzepten des IEC 61508.

Einzelbewertung von Fehlern (z.B. Cut-Satz-Analyse)

Die zweite Möglichkeit zur Bewertung des ASIL basiert auf der Bewertung von Fehlern einzeln. Ein einfacher Flussdiagramm wird im Standard bereitgestellt, um den iterativen Designprozess zu beschreiben. Der Vorteil dieses Ansatzes scheint darin zu liegen, dass kein komplexes Modell (z.B. FTA) des gesamten Systems für die Analyse erforderlich ist. Ich vermute (aber habe es noch nicht bestätigt), dass der Nachteil darin besteht, dass dieser Ansatz viel konservativer ist.

Dieser Methode führt das Konzept der Fehlerklassifizierung für einzelne Hardwareteile ein. Die Rangfolge der Fehlerklassen für die Ausfallrate eines Hardwareteils wird wie folgt bestimmt:

  • Klasse 1 = <10-10 / Std.
  • Klasse 2 = <10-9 / Std.
  • Klasse 3 = <10-8 / Std.
  • usw. (wobei Klasse i = Klasse i-1 x 10)

In dieser Methode darf jede ASIL-Stufe eine oder mehrere Fehlerklassen verwenden, wie unten gezeigt. Es gibt je eine Tabelle für (i) Einzelpunktfehler (d.h. keine Diagnose), (ii) Restfehler und (iii) Dualpunktfehler:

LESEN  DU oder BU – Welche Versicherung ist die richtige für dich?

IEC 61508-Table

ISO26262-Table-7

ISO26262-Table-7

Diese Methode der Komponenten “Klassen” ähnelt konzeptionell den in der Vergangenheit verwendeten “Stückzahlen” -Methoden, insbesondere in MIL-HDBK-217. Das allein macht mich skeptisch gegenüber diesem Ansatz, da das Militär MIL-HDBK-217 letztendlich aufgrund seiner enormen Ungenauigkeit eingestellt hat.

Ich frage mich auch, ob die Klassenziele in ISO 26262 so konservativ sind, dass dieser Ansatz nicht praktikabel ist. Ein Klasse-1-Teil, wie es für ASIL D erforderlich ist, muss eine Ausfallrate von weniger als 1E-10 / Std haben. Mit anderen Worten, die mittlere Zeit bis zum Ausfall (MTTF) dieses Teils muss mehr als 1.141.000 Jahre betragen. Ich möchte wissen, wo ich diese großartigen Klasse-1-Geräte für meine Sicherheitsfunktionen kaufen kann! Ich vermute, dass dies eine subtile Art ist, die Hardware-Fehlertoleranz zu fördern, ohne sie strikt zu fordern.

Fazit

Die wichtigsten Erkenntnisse aus diesem Artikel sollten sein:

  • Das Automotive Safety Integrity Level (ASIL) ist in seinem Konzept ähnlich dem SIL für hohe Anforderungen, aber die Stufen sind unterschiedlich.
  • Der Standard gibt zwei Möglichkeiten zur Berechnung des ASIL vor, eine basierend auf einem Gesamtmodell der Funktion (ähnlich SIL-Berechnungen) und eine basierend auf der Betrachtung einzelner Fehler.
  • Die PMHF-Methode ähnelt traditionellen IEC 61508-Methoden, erfordert jedoch ein quantitatives Modell (z.B. FTA). Die individuelle Bewertung von Fehlern kann einfacher sein, aber die Klassenregeln können sehr konservative Ergebnisse liefern.

Ich hoffe, dieser kurze Überblick über ASIL war informativ. Danke fürs Lesen!