Diagnostic Coverage

Die funktionale Sicherheit spielt eine zentrale Rolle bei der Entwicklung sicherheitskritischer Systeme. Der Diagnosedeckungsgrad (DC, Diagnostic Coverage) ist dabei eine essenzielle Kennzahl. Er beschreibt das Verhältnis der erkannten gefahrbringenden Ausfälle zur Gesamtzahl aller gefahrbringenden Ausfälle und beeinflusst maßgeblich den erreichbaren Sicherheitslevel. Besonders in den Normen DIN EN ISO 13849-1 und IEC 61508 wird der DC-Wert als Kriterium zur Bewertung der Sicherheit von Steuerungssystemen herangezogen.

Diagnostic Coverage und Safe Failure Fraction (SFF)

Es gibt zwei verschiedene Metriken zur Bewertung der Diagnosedeckung:

DC (Diagnostic Coverage): Verhältnis der erkannten gefährlichen Ausfälle zur Gesamtzahl gefährlicher Ausfälle:

Formel Diagnostic Coverage = λ_DD/λ_D; einfache Gleichung, relevant für Elektronik und embedded software.

wobei:

  •  λD = Gesamtausfallrate für gefährliche Fehler
  •  λDD = Erkennbar gefährliche Ausfälle (Dangerous Detected)

SFF (Safe Failure Fraction): Berücksichtigt zusätzlich sichere Ausfälle:

Formel SFF: (λ_S + λ_DD)/(λ_S + λ_D) – Grafik zur elektronik, relevant für funktionale sicherheit.

wobei λs für sichere Ausfälle steht.

Ein möglicher Zusammenhang zwischen DC und SFF ergibt sich, wenn man beispielhaft annimmt, dass 50 % der Ausfälle sicher und 50 % gefährlich sind:

Formel SFF = 50% + 0,5 × DC – Grafische Darstellung der Elektronik.

Beispiel: Wenn DC = 90 %, ergibt sich ein SFF von etwa 95 %.

Berechnung des DC-Werts

Der DC-Wert kann auf verschiedenen Ebenen berechnet werden – auf Komponentenebene, für einen bestimmten Block oder für das gesamte sicherheitsbezogene Steuerungssystem (SRP/CS, Safety Related Parts of Control). Dabei gibt es zwei gängige Methoden:

Berechnung über die Ausfallrate (λ)

Die detaillierte Berechnung des DC-Werts erfolgt durch die Bestimmung der Ausfallraten einzelner Komponenten. Hierbei werden drei Arten von Ausfällen betrachtet:

  • Gesamtausfallrate
  • Erkennbar gefährliche Ausfallrate (dangerous detectable)
  • Unerkennbar gefährliche Ausfallrate (dangerous undetectable)

Die Formel zur Berechnung des Diagnosedeckungsgrads unter Berücksichtigung beider Ausfallraten – erkennbar wie unerkennbar – lautet:

DC* = λ_DD/(λ_DD+λ_DU); Formeldarstellung aus der Elektronik, relevant für embedded software.

Diese Methode erfordert eine detaillierte Ausfalleffektanalyse (FMEA), um die einzelnen Werte für jede Komponente zu bestimmen.

Näherungsweise Berechnung per Schätzung

Eine vereinfachte Methode zur Bestimmung des DC-Werts basiert auf einer konservativen Schätzung, die in der Praxis häufig angewandt wird. Dabei werden die DC-Werte einzelner Komponenten mit deren MTTFd-Wert (Mean Time To Dangerous Failure) gewichtet und gemittelt:

Formel: gewichteter DC_avg = Σ(DC_i·MTTF_di)/Σ MTTF_di; Elektronik und funktionale Sicherheit.

Die ermittelten DC-Werte werden in vier Klassen eingeteilt:

DC-KlasseDC-Wert in %Bedeutung
Keine DiagnoseDC < 60 %Geringe oder keine Diagnosefähigkeit
Niedrig60 % ≤ DC < 90 %Begrenzte Diagnostikmaßnahmen
Mittel90 % ≤ DC < 99 %Gute Diagnostikmaßnahmen
HochDC ≥ 99 %Sehr hohe Diagnosesicherheit

Die ISO 13849-1 erlaubt im Rahmen der Bestimmung des Diagnostic Coverage ausdrücklich die Verwendung von Schätzungen, sofern diese auf nachvollziehbaren technischen Annahmen und etablierten Erfahrungswerten basieren. In der Praxis bedeutet das, dass nicht für jede einzelne Maßnahme ein exakt berechneter Fehlererkennungsgrad erforderlich ist. Stattdessen können typische, normativ akzeptierte Bereiche wie „low“, „medium“ oder „high“ sowie Richtwerte (z. B. 90 % oder 99 %) verwendet werden, wenn die zugrunde liegende Diagnosemaßnahme und deren Wirksamkeit ausreichend verstanden sind. Die folgende Tabelle zeigt beispielhafte Maßnahmen entlang der Funktionskette (Eingang, Logik, Ausgang) und ordnet diesen typische Diagnosedeckungsgrade zu, wie sie in der Praxis und in der Normumgebung verwendet werden.

KategorieBeispielhafte MaßnahmeMaximaler Diagnosedeckungsgrad (DC)
Sensoren / EingabeeinheitenProzessfehlererkennung durch Sensoren (abhängig von Anforderungsrate)60% – 90%
Zyklischer Testimpuls durch Änderung der Eingangssignale90 %
Plausibilitätsprüfung, z. B. zwangsgeführte Kontakte von Relais99 %
LogikDynamische Prinzipien (z. B. Verriegelungsschaltungen in Relaissystemen, EIN-AUS-EIN-Anforderungen)99 %
Test der Reaktionsmöglichkeit des Watchdogs durch Hauptkanal90 %
Aktorik / AusgabeeinheitenRedundanter Abschaltkreis mit Überwachung90%
Direkte Überwachung, z. B. Steuerventile oder elektromechanische Einheiten mit Zwangsführung99 %
Mechanische MaßnahmenSchalter mit zwangsgeführten Kontakten für Plausibilitätsprüfung99 %

Zusammenfassung

Der DC-Wert ist eine zentrale Metrik für die funktionale Sicherheit, da er angibt, wie viele gefährliche Ausfälle erkannt werden können. SFF erweitert dieses Konzept, indem auch sichere Ausfälle berücksichtigt werden, wobei der Zusammenhang zwischen DC und SFF nur beispielhaft ist. Eine hohe Diagnosedeckung reduziert die Wahrscheinlichkeit gefährlicher Ausfälle und trägt zur Sicherheit von Steuerungssystemen bei. Die Berechnung kann entweder durch detaillierte FMEA-Analysen oder über Näherungsverfahren erfolgen. Ob Diagnosen oder Redundanz bevorzugt werden, hängt von der Architektur und den sicherheitsrelevanten Anforderungen ab. Durch die Kombination von Fehlermodellierung, Redundanz und Diagnosetechniken kann ein hohes Sicherheitsniveau erreicht werden, ohne unnötige Komplexität in das System zu bringen.

Zurück zum Glossar

Ähnliche Beiträge