Methode zum simulationsbasierten Nachweis der funktionalen Sicherheit fehlertoleranter Systeme

Abstract

Zur Realisierung automatisierter Fahrfunktionen ist der Einsatz fehlertoleranter Systeme im Fahrzeug unvermeidbar. Mit steigender Automatisierungsstufe entfällt der Fahrer als Rückfallebene. Aufgrund dessen muss das Fahrzeug im Fehlerfall selbsttätig den sicheren Zustand erreichen. An der Realisierung der automatisierten Fahrfunktionen sind E/ESysteme beteiligt, weswegen die ISO 26262 bei der Entwicklung berücksichtigt werden muss. Die ISO 26262 umfasst den gesamten Sicherheitslebenszyklus eines Fahrzeuges. Ein Teil der ISO 26262 befasst sich ausgehend von den Sicherheitszielen mit der Ableitung von Sicherheitsanforderungen an die Komponentenebene. Dabei werden unter anderem die ASIL der Sicherheitsziele mittels ASIL Allokation und Dekomposition an untergeordnete Systeme und Komponenten abgeleitet. Aufgrund der hohen Systemkomplexität durch die Fehlertoleranz des Fahrzeugs ist dies händisch nicht effizient durchführbar. Aufgrund dessen werden die mathematischen Grundlagen der ASIL Dekomposition sowie ein Algorithmus zur automatisierten ASIL Allokation und Dekomposition auf Basis einer Fehlerbaumanalyse vorgestellt. Ein weiterer Bestandteil der ISO 26262, der durch die Analyse fehlertoleranter Systeme beeinflusst wird, ist der Nachweis, dass das Fahrzeug ausreichend sicher ist. Aufgrund der hohen Systemkomplexität sind die ISO 26262 Standardmethoden, Fehlerbaumanalyse und FMEDA, zur Modellierung der fehlertoleranten Systeme nur bedingt geeignet. Aufgrund dessen wird ein Ansatz basierend auf einer Markov-Analyse zur Modellierung der Fehlertoleranz vorgestellt. Das Markov-Modell wird automatisiert auf Basis von Fehlerinjektionssimulationen aufgebaut, welche das Systemverhalten im Fehlerfall bei Einfach- und Mehrfachfehlern beschreiben. Die Zustandsübergänge des Markov-Modells werden mittels Fehlerbaumanalysen der fail-safe Komponentenebene quantifiziert. Durch die vorgestellte Methode - werden die zum Sicherheitsnachweis benötigten ISO 26262-Metriken berechnet, - eine effiziente Systemoptimierung durch Identifikation der einflussreichsten Fehler / Fehlerkombinationen durchgeführt, - der Einfluss von Parametervariationen mittels Sensitivitätsanalysen bewertet, - der Nachweis der Funktionsfähigkeit von Sicherheitsmechanismen durchgeführt, - die Erkennung und Behebung systematischer Fehler des Systemdesigns, der Komponentendimensionierungen und Fehlerreaktionen umgesetzt.