Suchen

Funktionale Sicherheit Wie Hall-Sensoren mit Diagnosefunktion für mehr Sicherheit sorgen

| Autor / Redakteur: Tatjana Kübler und Dr Thomas Wolf * / Dipl.-Ing. (FH) Hendrik Härter

Ausfälle oder Fehlfunktionen von sicherheitsrelevanten Systemen müssen unbedingt vermieden werden. Dank integrierter Diagnosefunktion sind spezielle Hall-Sensoren ASIL-A geeignet.

Firma zum Thema

Funktionale Sicherheit: Dank integrierter Diagnosefunktion sind spezielle Hall-Sensoren ASIL-A geeignet.
Funktionale Sicherheit: Dank integrierter Diagnosefunktion sind spezielle Hall-Sensoren ASIL-A geeignet.
(Bild: vege/Fotolia.com)

Die stetig wachsenden Sicherheitsanforderungen der EU an die Automobilindustrie erfordern Standards, um die Sicherheit der Fahrzeuginsassen zu steigern. Im Rahmen des Konzepts der funktionalen Sicherheit soll das Risiko von Ausfällen oder Fehlfunktionen von sicherheitsrelevanten Systemen im Kraftfahrzeug vermindert werden. Die zugrundeliegende Norm der funktionalen Sicherheit stellt die ISO26262 dar. Mit ihr gehen Sicherheitsmaßstäbe für sicherheitsrelevante Systeme und deren Einzelkomponenten in den Applikationen einher.

Bildergalerie

Systeme im Sinne der Norm bestehen sehr oft aus einem oder mehreren Sensoren, einem Steuergerät und einem Aktor. Um die Anforderungen von normgerechten Systemen zu erfüllen, hat der Hersteller TDK-Micronas (vertrieben von Endrich Bauelemente) mit dem HAL15xy (Bild unten) einen Hall-Schalter entwickelt, welcher mit allen notwendigen Diagnosefeatures wie der Option eines Selbsttests zur Funktionsprüfung des Sensors oder einer Drahtbrucherkennung ausgestattet ist.

Auch bei den analogen, programmierbaren Hallsensor-Serien von TDK wird die Funktionssicherheit von Hallsensor-Anwendungen durch redundante Typen weiter erhöht. Die Sicherheitsanforderungen der erwähnten ISO26262 werden in vier verschiedene Automotive Safety Integrity Levels = ASIL unterteilt: A, B, C und D. Dabei stellt Level D die höchste Stufe der Sicherheitsanforderungen an das System und seine Komponenten dar.

Entwicklungs- und Herstellungsprozessen dokumentieren

Für die elektronischen Bauteile in einer nach ASIL klassifizierten Anwendung bedeutet ASIL in erster Linie die detaillierte Dokumentation von Entwicklungs- und Herstellungsprozessen nach den vorgegebenen Normen. Ein Beispiel für eine ASIL-D-Applikation ist die Lenkung eines Fahrzeugs, deren Ausfall in der Praxis ein Worst-Case-Szenario darstellen würde. Ein wichtiger Aspekt ist, dass der HAL15xy von TDK-Micronas als Einzelkomponente selbst nicht ASIL-klassifiziert sein kann. Das ist nur dem ganzen System vorbehalten.

Die Komponenten können ausschließlich „ASIL-ready“ sein und tragen dazu bei, dass ein System ein bestimmtes ASIL-Level erreicht. Für die quantitative Bewertung, um die Sicherheitsanforderungen zu erfüllen, wurden im Rahmen der ISO26262 verschiedene Metriken festgelegt, die das System auf die Ausfallmöglichkeit hin untersuchen und bewerten, wie häufig ein zufälliger Ausfall eines Bauteils das ganze System in einen unsicheren Zustand bringen könnte. Folgende Metriken sind in der Norm definiert:

  • Die Failure in Time Rate = FIT-Rate beschreibt die Ausfallrate eines Bauteils oder einer Komponente. Sie gibt die Anzahl der Ausfälle in 109 Stunden an.
  • Die Single Point Fault Metric = SPFM spezifiziert die Robustheit des Systems hinsichtlich einzelner Fehler, deren Auftreten zum Ausfall des gesamten Systems führen. Verfügt das System bzw. der Sensor über mehr interne Kontrolleinrichtungen, umso besser. Beispielsweise müssen 90 Prozent der wichtigsten Funktionsparameter durch das System überprüft werden, damit das System nach Norm ASIL-B klassifiziert ist. Die Prozentwerte für die anderen Klassen sind der Norm zu entnehmen.
  • Die Latent Fault Metric = LFM spezifiziert die Robustheit des Systems hinsichtlich der Fehler, die schleichend oder verzögert zum Ausfall des Systems beitragen. Ein Beispiel kann die Alterung des Sensors sein. Auch hier gilt: Je höher die in der Norm für jede Klasse festgelegte Prozentzahl ist, desto umfangreicher sind die im System eingebauten Diagnosemaßnahmen, die zur Erkennung solcher Fehler beitragen.

Ergänzendes zum Thema
Wenn die Redundanzfunktion integriert ist

Sensoren mit integrierter Redundanzfunktion in einem Gehäuse haben den Vorteil, dass sich Kosten senken lassen und die Zuverlässigkeit des Gesamtsystems erhöht wird. Grund sind kleinere Leiterplatten (PCB) und weniger Lötaufwand. Die Sensoren des Typs HAR37xy werden im gleichen SOIC8-Gehäuse produziert wie die übergeordnete Single-Die-Familie HAL37xy.

Anwender, die bereits die Single-Die-Variante verwenden, sparen sich Zeit für das Re-Design, da sie den gleichen Magnetkreis und Modulformfaktor verwenden können. Dank der identischen x/y-Positionierung der Hall-Elemente lassen sich kleinere Magnete für ihr Design verwenden.

Der entscheidende Gedanke hinter den Definitionen ist nicht, Ausfälle des Systems zu verhindern. Vielmehr soll bei einem auftretenden Fehler sichergestellt werden, dass dieser vom System erkannt wird und das System in einen „sicheren Zustand“ (Fail Safe) gebracht wird, der das Fahrzeug und die Insassen nicht in Gefahr bringt.

Wichtig ist, dass sich die Sensoren der HAL15xy-Familie aufgrund der implementierten Diagnosemaßnahmen und gegebenenfalls einer entsprechenden Dekomposition sogar für Systeme mit einer höheren ASIL-Klassifizierung als ASIL-A eignen würden. Unter Dekomposition wird die Aufteilung bzw. Umverteilung der Sicherheitsanforderungen auf die einzelnen unabhängigen Systemelemente verstanden. Das Prinzip der Dekomposition wird am Beispiel eines elektrischen Fensterhebers erläutert.

(ID:44709449)