--- doc-id: SLM-EPB-FMEDA-001 version: 1.0 status: Freigegeben datum: 2026-05-12 --- # Failure Mode Effects and Diagnostic Analysis (FMEDA) | Feld | Wert | |--------------|----------------------------------------| | Projekt | demo-epb | | Dokument-ID | SLM-EPB-FMEDA-001 | | Version | 1.0 | | Status | Freigegeben | | Datum | 2026-05-12 | | Norm | ISO 26262 Part 5 §8 + Part 10 | --- ## 1. Zweck Bottom-up-Analyse der Hardware- und Software-Fehlermoeglichkeiten der EPB, Quantifizierung der Diagnostic Coverage (DC) und Berechnung der Single-Point Fault Metric (SPFM) und Latent Fault Metric (LFM). Wird zur Bewertung der Hardware-Architektur-Metriken nach ISO 26262-5 benoetigt. In dieser Demo wird der **Software-Anteil** behandelt; der Hardware-FMEDA ergeht separat (Komponenten-Hersteller). ## 2. Methodik Pro Software-Komponente werden mogliche Failure Modes aufgelistet, ihre Effekte beschrieben, Detection-Mechanismen identifiziert und die Diagnostic Coverage abgeschaetzt. DC-Klassen nach ISO 26262-5 §C.2: | DC-Klasse | DC % | Bedeutung | |-----------|-------|--------------------------------------| | Low | < 60% | Schwache Diagnose | | Medium | 60-90%| Mittlere Diagnose | | High | > 90% | Starke Diagnose | ## 3. FMEDA-Tabelle pro Komponente ### 3.1 SWA-002 Apply Controller (ASIL-D) | FM-ID | Failure Mode | Effekt | Detection | DC | Safe State erreicht? | |-------|---------------------------------------|--------------------------------------|---------------------------------|-------|----------------------| | FM-01 | State-Machine bleibt in APPLYING haengen | Bremse nie applied | Timeout 30*50ms -> ERROR | High | Ja (ERROR-State) | | FM-02 | Falscher State-Uebergang APPLIED->RELEASED ohne Bedingung | Wegrollen | Vorbedingungs-Check (`release_preconditions_ok`) | High | Ja | | FM-03 | Watchdog-Counter ueberlaeuft | Watchdog feuert false-positive | Wrap-safe Subtraktion in Watchdog (NC-001) | High | Ja (Reset) | | FM-04 | Hold-Loop regelt nicht nach | Klemmkraftverlust unerkannt | Periodische Pruefung alle 50ms + force-tolerance | High | Ja (Re-Apply) | | FM-05 | NULL-Pointer-Dereferenzierung Input | Crash | Early-Exit Check | High | Ja (Letzter Zustand bleibt) | Aggregierte DC fuer Apply Controller: **96 %** (High). ### 3.2 SWA-003 Actuator Driver (ASIL-B) | FM-ID | Failure Mode | Effekt | Detection | DC | |-------|------------------------------------------|--------------------------------------|---------------------------------|-------| | FM-06 | PWM-Wert ausserhalb 0..100 | Hardware-Schaden | Parameter-Check, return EINVAL | High | | FM-07 | ISR misst zu hohen Strom kontinuierlich | Motor-Brand | Overcurrent-Cutoff > 8A > 100ms | High | | FM-08 | ISR misst zu niedrigen Strom (Sensor-Fehler) | Klemmkraft falsch geschaetzt | Cross-Check beider Aktoren | Medium | | FM-09 | Beide Aktoren gleichzeitiger Cutoff | EPB inoperativ | DTC + Service-Mode bleibt zugaenglich | Medium | Aggregierte DC fuer Actuator Driver: **85 %** (Medium). ### 3.3 SWA-001 Safety Manager (ASIL-D) | FM-ID | Failure Mode | Effekt | Detection | DC | |-------|------------------------------------------|--------------------------------------|---------------------------------|-------| | FM-10 | Auto-Apply-Timer feuert nicht | Fahrzeug rollt nach Motor-Aus | Watchdog Safety-Manager | High | | FM-11 | Hill-Hold-Uebergabe verzoegert | Rollen am Berg | Bremspedal-Signal-Verfolgung | High | | FM-12 | False-Positive Hill-Hold-Aktivierung | Unnoetiges Apply | Filter-Tiefpass Inclinometer | Medium | | FM-13 | Grade-Filter Saturation | Hill-Hold verpasst | Plausibilitaets-Check (Range) | Medium | Aggregierte DC fuer Safety Manager: **88 %** (Medium-High). ### 3.4 SWA-004 Wheel Speed Plausibilisierung (ASIL-B) | FM-ID | Failure Mode | Effekt | Detection | DC | |-------|------------------------------------------|--------------------------------------|---------------------------------|-------| | FM-14 | Stuck-At-Zero auf einem Rad | Falscher Stillstand erkannt | Spreizung > 3 km/h Check + DTC | High | | FM-15 | Alle 4 Sensoren ausgefallen | Stillstand unerkannt | Komplettausfall-DTC + Vorlast-Annahme | High | DC: **95 %** (High). ## 4. Aggregierte Metriken (Software) | Metrik | Wert | Anforderung ASIL-D | |------------------------------|---------|------------------------| | SPFM (Single-Point Fault) | 95 % | >= 99 % (Software allein nicht ausreichend, HW erforderlich) | | LFM (Latent Fault) | 90 % | >= 90 % | | Aggregated DC | 92 % | High | **Hinweis:** Die hier berichteten Software-DC-Werte sind keine ASIL-D-Hardware- Metriken. ASIL-D-konforme SPFM/LFM benoetigen quantitative Hardware-FIT-Raten, die auf HW-Ebene berechnet werden (Tier-1-Aktoren, ECU-Hardware). ## 5. Diagnose-Massnahmen (Inventar) | Mechanismus | Komponente | Trigger | |------------------------------|-----------------------|----------------------------------------| | Timeout-Watchdog | Apply Controller | 30*50ms im APPLYING | | Klemmkraft-Hold-Check | Apply Controller | alle 50ms | | Overcurrent-Cutoff | Actuator Driver | 8A > 100ms | | Sensor-Spreizungs-Check | Wheel Speed Plausi | jede 10ms-Periode | | Inclinometer-Range-Check | Inclinometer Filter | jede 10ms | | Watchdog Safety Manager | Safety Manager | 100ms Liveness | | Diagnostic Manager UDS DTCs | Diag Manager | Aufruf von `diag_set_dtc()` | ## 6. Aenderungshistorie | Version | Datum | Aenderung | Autor | |---------|-------------|-------------------------|----------------| | 0.1 | 2026-05-11 | Initialer Entwurf | S. Lohmaier | | 1.0 | 2026-05-12 | Erstfreigabe | S. Lohmaier |