CAN Bus'ın Avantajları ve Dezavantajları: Modern Araçların Gizli Kahramanı

CAN Bus'ın Avantajları ve Dezavantajları: Modern Araçların Görünmeyen Kahramanı

Merhaba! Bu yazıda otomotiv dünyasının perde arkasında çalışan ama çoğu zaman adı bile geçmeyen bir teknolojiye odaklanacağız: CAN Bus. Bugün piyasadaki neredeyse tüm modern araçlarda, ECU’lar (Electronic Control Unit), sensörler ve aktüatörler arasındaki iletişimin büyük kısmı bu yapı üzerinden gerçekleşiyor.

Eğer araç elektroniklerine meraklıysan, gömülü yazılım geliştiriyorsan ya da sadece “Bu kadar sistem birbirini nasıl anlıyor?” diye düşünüyorsan, doğru yerdesin. Bu yazıda CAN Bus’ın avantajlarını, dezavantajlarını, pratik kullanım alanlarını ve gelecekte yerini nelerin alabileceğini konuşacağız. Hem yeni başlayanlar hem de sektörde çalışanlar için anlaşılır bir dil kullanmaya çalışacağım. 🚗💡

---

CAN Bus Kısaca Nedir?

CAN (Controller Area Network), temel olarak araç içindeki elektronik kontrol birimleri arasında iletişim kurulmasını sağlayan bir haberleşme protokolüdür. 1980’lerin ortasında Bosch tarafından geliştirilmiş ve daha sonra ISO 11898 standardı hâline gelmiştir.

Bu ağda her ECU, birer “node” (düğüm) gibi düşünülür ve hepsi ortak bir veri yolu (bus) üzerinde konuşur. CAN Bus; motor kontrol ünitesi, ABS, airbag, direksiyon sistemi, gövde kontrol modülü, multimedya sistemi gibi birbirinden çok farklı modüller arasında veri taşır.

CAN Bus’ın Temel Özellikleri

• İki telli diferansiyel hat kullanır (CAN_H ve CAN_L).
• Genellikle 500 kbps veya 1 Mbps hızlarda çalışır (klasik CAN).
• Broadcast (yayın) mantığı ile mesajlar hattaki tüm ECU’lara iletilir.
• Her mesajın kendine ait bir ID (Identifier) değeri vardır ve bu ID aynı zamanda önceliği belirler.

Kısaca: İki kablo üzerinden, aynı hat üzerinde bir sürü modülün konuştuğu, hataya dayanıklı, oldukça pratik bir iletişim sistemi diyebiliriz.

---

CAN Bus’ın Avantajları

1. Yüksek Güvenilirlik ve Hata Toleransı

CAN, otomotiv gibi güvenliğin kritik olduğu alanlarda kullanılmak üzere tasarlanmıştır. Hata algılama ve yönetimi konusunda oldukça gelişmiş mekanizmalara sahiptir:

• Bit hata algılama (bit monitoring)
• CRC (Cyclic Redundancy Check) ile veri bütünlüğü kontrolü
• Acknowledge (ACK) mekanizması
• Error frame göndererek hatalı düğümün kendini sınırlaması

Bir ECU sürekli hatalı mesaj gönderiyorsa, CAN protokolü bu ECU’yu “bus-off” hâline getirip hatta zarar vermesini engeller. Bu sayede kritik fonksiyonların sürekliliği desteklenir.

2. Diferansiyel Sinyalleme Sayesinde Gürültü Bağışıklığı

Otomotiv ortamı, özellikle de motor bölgesi; yüksek akımların, enjektörlerin, ateşleme bobinlerinin ve çeşitli elektromanyetik kaynakların olduğu oldukça gürültülü bir ortamdır. CAN, bu zorlu şartlara dayanmak için diferansiyel sinyal kullanır:

• CAN_H ve CAN_L hatlarında zıt fazda sinyal taşınır.
• Ortamdan gelen gürültü her iki hatta da aynı yönde biner (common-mode noise).
• Alıcı, bu iki hattın farkını okuduğu için gürültünün etkisi büyük oranda bastırılır.

Sonuç: Uzun kablo mesafelerinde ve zorlu ortamlarda bile güvenilir iletişim. 🚙

3. Kablo Maliyeti ve Ağırlığında Azalma

CAN’dan önce araç içinde pek çok fonksiyon için nokta-nokta kablolama kullanılıyordu. Örneğin bir buton ile bir modül arasında özel kablo çekiliyor, sensörler doğrudan tek bir ECU’ya bağlanıyordu. Bu yaklaşım:

• Daha fazla kablo → daha yüksek maliyet
• Daha fazla kablo → daha yüksek araç ağırlığı
• Montaj ve bakım zorluğu

CAN ile birlikte bu yapı büyük ölçüde sadeleşti:

• Birçok sensör ve ECU aynı ortak veri yolunu kullanmaya başladı.
• Kablolama, “power + CAN bus” hattı şeklinde basitleşti.

Özellikle büyük araçlarda (otobüs, kamyon, iş makinesi vb.) kablo metrajındaki azalma ciddi maliyet avantajı sağlar.

4. Kolay Genişletilebilir ve Esnek Mimari

CAN hattına yeni bir ECU eklemek için genellikle yapılması gereken tek şey, o ECU’yu aynı CAN_H ve CAN_L hattına bağlamaktır. Doğru terminasyon, hız ve ID planlaması yapıldıktan sonra sistem oldukça esnek bir şekilde ölçeklenebilir.

Bu da OEM’lere (araç üreticilerine) şu imkânları verir:

• Farklı donanım paketlerinde opsiyonel modüller ekleyebilme (ör. park asistanı, kör nokta uyarı sistemi)
• Aynı platformu kullanıp farklı model araçlar türetebilme

5. Gerçek Zamanlı (Real-Time) İletişime Uygun Yapı

CAN, özellikle kontrol döngülerinin hızlı ve deterministik olması gereken sistemlerde kullanılır. Örneğin:

• Tekerlek hızı verilerinin ABS/ESP modülüne aktarılması
• Motor devir, tork ve yük bilgilerinin ECU’lar arasında paylaşılması
• Direksiyon açı sensörü verisinin sürüş destek sistemleriyle paylaşılması

CAN, doğru tasarlanmış bir ağ mimarisi ve doğru ID önceliklendirmesi ile oldukça tutarlı zamanlama performansı sunar.

6. Öncelik Tabanlı Mesajlaşma (Arbitration)

CAN Bus’ın en önemli avantajlarından biri de önceliklendirme mekanizmasıdır. CAN hattında aynı anda birden fazla ECU mesaj göndermek isterse, devreye arbitration (hakemlik) süreci girer:

• Mesaj önceliği, ID değeri ile belirlenir.
• Numerik olarak küçük ID = daha yüksek öncelik
• Yüksek öncelikli mesajlar, düşük öncelikli mesajları “ezer” ve önce hattı kullanır.

Örnek:
ID 0x010  → Yüksek öncelik (ör. fren komutu)
ID 0x100  → Orta öncelik (ör. motor verisi)
ID 0x600  → Düşük öncelik (ör. konfor özellikleri)

Bu sayede fren gibi kritik bir mesaj, yoğun ağ trafiğinde bile gecikmeden iletilebilir.

7. Uygun Maliyetli ve Yaygın Ekosistem

CAN transceiver entegreleri ve CAN destekli mikrodenetleyiciler (STM32, NXP, Microchip vb.) piyasada fazlasıyla yaygın ve görece ucuzdur. Bu, CAN’i sadece otomotivde değil:

• Endüstriyel otomasyon
• Tıbbi cihazlar
• Drone ve robotik uygulamalar
• Tarım makineleri
• Denizcilik (NMEA 2000)

gibi birçok alanda da standart hâline getirmiştir.

---

CAN Bus’ın Dezavantajları

Her teknolojide olduğu gibi CAN’in de bazı sınırları ve dezavantajları var. Özellikle modern araçlardaki veri miktarı arttıkça, bu dezavantajlar daha belirgin hâle geliyor.

1. Sınırlı Bant Genişliği (Veri Hızı)

Klasik CAN (Classical CAN) için tipik maksimum hız 1 Mbps’tir. Bu hız; sensör verileri, komut mesajları ve basit durum bilgileri için fazlasıyla yeterli olsa da, günümüz araçlarında kullanılan:

• Kamera görüntüleri
• Radar/LiDAR verileri
• Yüksek çözünürlüklü ekran veri akışları

gibi uygulamalar için oldukça yetersiz kalır.

Bu nedenle OEM’ler, özellikle otonom sürüş ve gelişmiş sürüş destek sistemlerinde Automotive Ethernet gibi daha yüksek bant genişlikli çözümlere yöneliyor.

2. Mesaj Boyutu Sınırlaması

Klasik CAN çerçevesinde en fazla 8 byte veri taşınabilir. Büyük boyutlu veriler (örneğin uzun bir durum paketi, kalibrasyon verisi veya log bilgisi) bu sınır nedeniyle parçalara bölünmek zorundadır.

Bu sorunu azaltmak için geliştirilen CAN FD (Flexible Data Rate) standardı, veri alanını 64 byte’a kadar genişletir ve daha yüksek veri hızları sağlar. Yine de, bu hâliyle bile CAN FD; görsel veri gibi çok büyük akışlar için yeterli değildir.

3. Yerleşik Güvenlik (Security) Mekanizması Bulunmaması

CAN’in tasarlandığı dönemlerde araçlar dış dünyaya bu kadar bağlı değildi ve siber saldırı tehdidi bugünkü kadar gündemde değildi. Bu nedenle CAN protokolü:

• Kimlik doğrulama (authentication)
• Şifreleme (encryption)
• Erişim kontrolü (access control)

gibi güvenlik mekanizmalarını yerleşik olarak içermez.

Bu da şu riskleri doğurur:

• Yetkisiz erişimle mesaj dinleme (sniffing)
• Sahte mesaj gönderme (spoofing)
• Kritik sistemlere müdahale etme

Bu yüzden günümüzde ISO/SAE 21434 ve UNECE R155 gibi siber güvenlik standartları, CAN tabanlı ağlar üzerinde ek güvenlik katmanları ve IDS (Intrusion Detection System) gibi çözümlerin kullanılmasını şart koşuyor.

4. Broadcast Yapının Gizlilik ve Güvenlik Açısından Riskleri

CAN Bus, doğası gereği bir broadcast (yayın) protokoldür; yani hat üzerindeki tüm mesajlar, hatta bağlı olan tüm ECU’lar tarafından dinlenebilir. Bu durum:

• Her ECU’nun, doğru filtreleme yapılmazsa gereğinden fazla mesaj görmesine
• Saldırganın tek bir noktadan bağlanarak tüm trafiği izlemesine

imkân tanır. Dolayısıyla, CAN yapısı güvenlik açısından ekstra tasarım önlemleri gerektirir.

5. Uzun Hatlarda ve Yanlış Topolojilerde Sinyal Bütünlüğü Problemleri

CAN hattı, teoride çok esnek görünse de fiziksel tasarım tarafında dikkat edilmesi gereken noktalar vardır:

• Hattın iki ucuna mutlaka 120 Ω terminasyon direnci konmalıdır.
• “Yıldız topoloji” gibi yanlış kablolama yöntemleri yansımalara (reflections) neden olabilir.
• Çok uzun kablolarda ve yüksek hızlarda sinyal zayıflaması görülebilir.

Bu sorunlar, özellikle saha uygulamalarında “Arada sırada çalışan, sonra bozulan” gizemli hatalara sebep olabilir. Bu yüzden hem elektriksel tasarım hem de PCB layout tarafında dikkatli olmak gerekir.

---

Gerçek Hayattan CAN Bus Örnekleri

Motor Kontrolü (Powertrain)

Motor ECU’su; sensörlerden gelen:

• Devir (RPM)
• Gaz pedalı konumu
• Emme manifoldu basıncı
• Sıcaklık sensörleri

gibi verileri CAN üzerinden alır ve diğer modüllerle paylaşır. Örneğin:

• Motor tork bilgisi şanzıman ECU’suna iletilir.
• Yakıt tüketim bilgisi gösterge paneline gönderilir.

Şasi ve Güvenlik Sistemleri

ABS, ESP, hava yastığı modülleri gibi güvenlik kritik sistemler, CAN üzerinden sürekli veri alışverişi yapar. Örneğin:

• Tekerlek hız sensörleri → ABS/ESP modülü
• Yanal ivme ve dönüş hızı → ESP/ADAS modülü
• Çarpışma sensörleri → Airbag kontrol ünitesi

Bu verilerin doğru zamanda ve doğru şekilde iletilmesi, doğrudan yolcu güvenliğini etkiler.

Konfor ve Multimedya

Cam kaldırma modülleri, koltuk kontrol üniteleri, klima, far kontrolü ve multimedya sistemleri de CAN üzerinden haberleşir. Örneğin:

• “Kapı açıldı” bilgisi hem gövde kontrol modülüne hem iç aydınlatma sistemine iletilir.
• Direksiyondaki multimedya tuşları, ses sistemiyle CAN üzerinden konuşur.

Bu sayede araç içindeki tüm konfor özellikleri birbirine entegre, senkronize ve yönetilebilir hâle gelir.

---

CAN FD ve Automotive Ethernet ile Kıyaslama

Modern araçlarda veri miktarı arttıkça, klasik CAN’in limitleri daha fazla hissedilir hâle geldi. Bunun üzerine iki önemli teknoloji öne çıktı:

CAN FD (Flexible Data Rate)

• Veri alanını 8 byte → 64 byte’a çıkarır.
• Belli kısımlarda daha yüksek baudrate kullanarak toplam veri hızını artırır.
• Klasik CAN ile geriye dönük uyumluluk sunar (donanım/altyapı avantajı).

CAN FD, özellikle daha yoğun veri alışverişi gerektiren kontrol modüllerinde (örneğin modern güç aktarım sistemleri, batarya yönetim sistemleri) giderek daha fazla kullanılmaktadır.

Automotive Ethernet

• 10 Mbps, 100 Mbps hatta 1 Gbps seviyelerinde veri taşıyabilir.
• Kamera, radar, multimedya gibi yüksek bant genişliği isteyen uygulamalar için uygundur.
• Switch tabanlı yapısı ile segmentasyon ve daha iyi güvenlik imkânı sunar.

Yine de, maliyet, karmaşıklık ve gerçek zamanlı kontrol açısından değerlendirdiğimizde; CAN Bus hâlâ kritik kontrol yollarında vazgeçilmez konumunu koruyor.

---

CAN Bus Avantaj & Dezavantaj Karşılaştırma Tablosu

Başlık	Avantaj	Dezavantaj
Bant Genişliği	Kontrol verileri için yeterli	Görüntü, radar vb. için yetersiz
Güvenilirlik	Gelişmiş hata algılama ve bus-off mekanizması	Yerleşik siber güvenlik özellikleri yok
Kablolama	İki telli yapı, düşük maliyet ve ağırlık	Yanlış topoloji ve terminasyon sorun yaratabilir
Esneklik	Ağa yeni ECU eklemek kolay	Toplam trafik iyi planlanmazsa tıkanma riski
Mesaj Yapısı	Basit ve deterministik	Klasik CAN’de 8 byte sınırı

---

Sonuç: CAN Bus Neden Hâlâ Oyunun İçinde?

Özetle; CAN Bus, düşük maliyet, yüksek güvenilirlik, gerçek zamanlı performans ve yaygın ekosistem gibi güçlü avantajlara sahip. Evet, bant genişliği sınırlı ve yerleşik güvenlik mekanizmaları yok; ancak doğru mimari, uygun güvenlik katmanları ve iyi bir ID/mesaj tasarımıyla hâlâ son derece güçlü bir çözüm sunuyor.

Günümüzde otonom sürüş, bağlı araçlar (connected cars) ve OTA (Over-the-Air) güncellemeler gibi yeni kavramlarla birlikte Ethernet ve CAN FD gibi teknolojiler öne çıksa da, klasik CAN Bus’ın uzun yıllar daha araçların kalbinde yaşamaya devam edeceğini söylemek yanlış olmaz. 🚗✨

---

🔖 Terimler Sözlüğü

Terim	Açıklama
CAN	Controller Area Network – Araç içi iletişim protokolü
ECU	Electronic Control Unit – Elektronik kontrol ünitesi/modülü
Diferansiyel Sinyal	İki hat arasındaki gerilim farkı üzerinden veri iletimi tekniği
Arbitration	CAN hattında mesajların ID’ye göre önceliklendirilmesi ve çakışma çözümü
CRC	Cyclic Redundancy Check – Veri bütünlüğünü kontrol etmek için kullanılan algoritma
CAN FD	Flexible Data Rate – Daha yüksek veri hızı ve daha büyük veri alanı sunan CAN genişlemesi
Automotive Ethernet	Yüksek bant genişlikli, Ethernet tabanlı araç içi haberleşme teknolojisi
Bus-off	Sürekli hata üreten ECU’nun CAN hattından otomatik olarak izole edilmesi durumu

---

📌 Ekstra Kaynaklar

• Bosch – CAN Bus Teknik Bilgilendirme
• National Instruments – Controller Area Network (CAN) Overview
• ISO 11898 – Road vehicles — Controller area network (CAN)

Safety ve Security Kavramları

Bu yazıda safety ve security kavramlarını inceleyeceğiz. Türkçede emniyet ve güvenlik şeklinde yer yer ifade edilse de net bir karşılık olmadığı için bu yazıda ingilizce terimler kullanılacaktır.

Safety, emniyette olma ve potansiyel tehlikelerden korunma durumudur. Safety, kabul edilebilir bir risk düzeyine ulaşmak için bilinen tehlikelerin kontrolünü de ifade eder. Safety, genellikle sistemlerin kendileri kaynaklı oluşabilecek tehlikeli durumlarını ve bu durumlardan kaçınmayı ifade eder.

Security, sistemin dışından gelecek, sistemin doğal işleyişini bozmak veya sistem içerisinde tutulması gereken her türlü bilginin, sistemin izni haricinde alınması/erişilmesi durumudur. Security açısından sistemler değerlendirilirken riskler, tehdit modelleri ve saldırı yöntemleri analiz edilir. Sonrasında sistem security açısından da güvenli bir noktaya gelmesi gereken aksiyonlar planlanır ve devreye alınır.

FIT (Failure in Time) ve MTBF (Mean Time Between Failure) Kavramları

FIT ve MTBF, emniyetli elektronik sistemler üzerine çalışırken bilinmesi gereken en temel kavramlardandır.

FIT (Failure in Time) bir sistemin veya komponentin, belli bir süre içerisinde hata yapma olasılığını, hatanın frekansını ifade eder. Bu kavram ilgili cihazın güvenilirliği etkiler. Bununla birlikte emniyetli sistemler genelde bir çok cihazın birleşiminden oluştuğu için her bir sistem veya komponentin FIT değeri geniş çerçevede sistemi etkiler. Bu yüzden genellikle FIT değeri düşük sistemler emniyetli sistemlerde tercih sebebi olur.

MTBF (Mean Time Between Failure) bir sistemin veya komponentin iki hatası arasında geçen süreyi ifade eder.

FIT ile MTBF arasındaki ilişki FIT = 1 / MTBF şeklindedir. Kullanıldığı yere göre farklılık gösterir ancak temelde aynı bilgiyi ifade eder.

Bir Sistemin FIT Değerinin Bulunması

Bir sistemin FIT değerini hesaplamak için çeşitli yöntemler vardır. Bu yöntemler ilgili komponentin yapısına göre değişir.

Direnç, kondansatör gibi chip seviyesidneki elemanlarda FIT genellikle fabrika içi yapılan testlerle hesaplanır. Bu hesaba ilgili üreticinin geçmiş üretim/hata raporları da etkili olur.

Büyük sistemlerde ise FIT değeri öncelikle kullanılan alt sistemlerin hata oranlarına göre hesaplanır. Uzun vadede ilgili ürünün saha dönüş raporlarına göre FIT değeri güncellenir. Bu aşamaların tamamnıda belli bir tahmin faktörü vardır.

Örnek olarak, 10 adet komponent hata yapana kadar veya 1000 saati doldurana kadar test edilmiştir. Bu testte 6 adet ürün hata yapmıştır. Bu şartlar altında ilgili ürünün FIT hesabı aşağıdaki gibidir. İlgili ürünün her bir milyon saatteki hata oranı, FIT değeri 799'dur.

FIT değeri elbette test ortamı ile de ilgilidir. Bu noktada sıcaklık önemli ve etken faktörlerdendir. FIT değerinin sıcaklığa göre değişimini hesaplamak için belirli formüller vardır ve bunlar kullanılabilir. Burada dikkat edilecek husus hedef ürünün çalışma sıcaklığına göre FIT değeri hesaplamaktır. Örnek olarak 60°C'de çalışacak bir ürün için 30°C için verilmiş FIT değerini kullanmak hata olacaktır.

Bu yazıda FIT ve MTBF kavramları hakkında genel fikir oluşturacak kadar bilgi vermeye çalıştım. Daha kapsamlı bilgi için ve uygulamaları hakkında fikir edinmek için IEC 61508 ve benzeri emniyet standardlarını inceleyebilirsiniz.

Görsel Kayakları:

1. https://gesrepair.com/mean-time-between-failures-what-it-is-and-what-it-isnt/
2. https://qatestlab.com/resources/knowledge-center/software-testing-glossary/failure-rate/
3. https://en.wikipedia.org/wiki/Failure_rate

Emniyet Kritik Sistemler

Günlük yaşantımızda, arabalarda, fabrikalarda, büyük tesislerde, günlük hayatımızda gördüğümüz veya göremediğimiz -artık neredeyse- her yerde insanlar çeşitli sistemler ile(elektronik, mekanik, elektromekanik vb.) iç içe yaşamaktadır. Sistemlerin tamamı belli koşullar altında hata yapabilir veya hatalı kullanılabilir. Bu kapsamda hata durumunda cana, mala, tesislere veya çevreye zararı dokunabilecek sistemler emniyet kritik sistemler olarak değerlendirilir. Bu sistemlerin ürünleşmesi için geçen tüm yaşam döngüsü belli standardlar dahilinde yürütülür.

Bir sistemin emniyet kritik olup olmadığı anlamak için bir soru sormak yeterlidir. “Zarar verir mi?”. Örnek olarak bir kapı turikesinin geç açılması sadece insanı biraz sinirlendirir. Ancak bir uçağın iniş takımlarının geç açılması yüzlerce hayata, ciddi mal kaybına ve çevresel zarara sebep olur. Bu örnekte olduğu gibi “Zarar verir mi?” sorusunun cevabı “Geliştirilecek sistemin emniyetli olması gerekir mi?” sorusuna da cevap vermiş olur.

Emniyet kritik sistemler hakkında geliştirilen standardlar ilk zamanlarda birçok acı tecrübe sonucunda ortaya çıkmıştır. Bu sistemlerin ilk geliştiği sektörler havacılık, otomotiv, demiryolu gibi sivil hayatla ve insanla sürekli iç içe olan çalışma alanlarıdır. Günümüzde emniyet kritik sistem geliştirme süreçleri bu iki sektörün lokomotif etkisi ile oldukça olgunlaşmıştır. Bu sayede geliştirilen teknikler ile hataları yaşamadan evvel ilgili hataları önlemek için mühendisler çalışmalar yürütmektedir. Bahsi geçen sektörlerin kendi özelleşmiş standardları vardır. Emniyetle ilgili tüm standardların şemsiye standardı ise IEC 61508'dir.

Emniyet konusunda ISO 26262 standardı otomotiv sektörü özelinde emniyetli sistem geliştirme konusunda ürünün tüm yaşam döngüsü ile ilgili çok detaylı örnekler barındıran ve eğitim kitabı tadında içeriğe sahip bir standarddır.

Otomotiv sektöründe emniyetli sistem geliştirme süreçleri -diğer sektörlerde de olduğu gibi- V model tabanlı yürütülür. Bu kapsamda aşağıdaki model takip edilir. Donanım ve yazılım gibi çekirdek geliştirme süreçlerine girmeden önce -mümkün olan- her şey sistem seviyesinde planlanır ve tasarlanır. Örnek verecek olursak yazılım yazılmadan önce yazılım testlerinin nasıl yapılacağı planlanmış olmalıdır. Bununla birlikte sistemin emniyet seviyesine göre(Otomotivde ASIL1-ASIL4, Raylı Ulaşımda SIL1-SIL4 gibi) proje yönetim süreçleri bile değişiklik gösterebilir. Örnek olarak SIL1 seviyesindeki bir ürünün yazılımını tek bir geliştirici yapabilirken, SIL3 seviyesindeki bir ürünü iki farklı ekibin geliştirilmesi gerekebilir. Farklı seviyelerde FMEA, FTA, HARA analizleri yapılır. Riskler bu analizler sonucunda tespit edilir.

Emniyetli sistem geliştirme işi oldukça zahmetli ve maliyetli bir süreçtir. Bu yüzden ISO 26262–2:2011 Annex B Table B.1’de verildiği gibi firmaların projeden önce bu kültüre hazır olmaları veya bu kültürü geliştirmeye niyetli olmaları gerekir. Aksi taktirde proje süreçleri normal bir proje ile karşılaştırılamayacak kadar detaylı ve zahmetlidir. Emniyet kritik bir projeyi bu kural ve kıstaslara uymadan geliştirecek olursanız tüm süreç emniyet kritik ürün geliştirmeye göre 3 kat daha hızlı olabilir.

Görsel Kaynakları:

1. https://www.instron.com.tr/tr-tr/testing-solutions/industry-solutions/automotive/safety-systems
2. https://www.axivion.com/en/p/solutions/iso-26262-compliance-141.html

IEC 61508'e göre Hata Analiz Yöntemleri

Hata analizi, genellikle düzeltici eylemleri veya yükümlülüğü belirlemek amacıyla bir hatanın nedenini belirlemek için veri toplama ve analiz etme işlemidir. Hata analizi, doğru bir şekilde yapılır ve üzerinde iyileştirmeler yapılırsa para, hayat ve kaynak tasarrufu sağlayabilir. Yeni ürünlerin geliştirilmesinde ve mevcut ürünlerin iyileştirilmesinde kullanılan, ciddi bir gereksinimdir. Hata analiz yöntemleri uygulanacağı sektöre ve uygulamaya göre çeşitlilik gösterir.

Elektronik sistemlerde emniyet ile ilgili kurallar genel olarak 61508 standardında yer alır. Emniyetli elektronik ekipmanların geliştirme sürecinde hata analiz işlemleri önemli bir yer tutmaktadır. Bu kapsamda 61508 aşağıda verilen hata analiz yöntemlerini önerir.

IEC 61508–7:2010 dokümanında B.6.6 başlığı altında kullanılabilecek hata analiz yöntemleri 10 alt başlık altında sıralanmıştır. Başlıklar altında analiz yöntemleri ile ilgili bir kaç kısa açıklama, sonrasında standardlara ve çeşitli kitaplara referanslar vardır. IEC 61508 bu konu ile ilgili sadece yönlendirme niteliğindedir. Bu 10 alt başlık;

• B.6.6.1 Failure modes and effects analysis (FMEA)-Hata modu ve etkileri analizi
• B.6.6.2 Cause consequence diagrams-Neden-Sonuç Diyagramları
• B.6.6.3 Event tree analysis (ETA)-Olay ağacı analizi
• B.6.6.4 Failure modes, effects and criticality analysis (FMECA)-Hata modu, etkileri ve kritiklik analizi
• B.6.6.5 Fault tree analysis (FTA)-Hata ağacı analizi
• B.6.6.6 Markov models
• B.6.6.7 Reliability block diagrams (RBD)-Güvenilirlik blok diyagramı
• B.6.6.8 Monte-Carlo simulation-Monte Carlo simülasyonu
• B.6.6.9 Fault tree models-Hata ağacı modeli
• B.6.6.10 Generalised Stochastic Petri net models (GSPN)-Genelleştirilmiş stokastik petri ağı modelleri

Gelecek yazılarda hata analiz yöntemlerinden bir kaçının detaylı açıklamasını yapacağım. Bunların başında FMEA ve FTA gelecektir.

Emniyetle kalın!

Elektronik Emniyet Sistemlerinde IEC 61508'e göre SIL Nedir?

SIL (Safety Integrity Level) sınıfı e/e/ep bir cihazın emniyet bütünlük seviyesini ifade eder. SIL ifadesi bir riskin ilk değerine görece ne kadar düşürüldüğünü ifade eder. SIL değeri arttıkça riskin gerçekleşme olasılığı düşer.

SIL seviyeleri 4 sınıfa ayrılır ve bu 4 sınıf kullanım sıklığına göre 2 ayrı değer tablosuna göre değerlendirilir. Kullanım sıklığı konusunda ise “düşük talep/rağbet”(low demand) ve “yüksek talep/rağbet(high demand) veya sürekli(continuous)” modları vardır.

Düşük talep modundaki bir emniyet fonksiyonu -uygulamanın yerine göre- çok nadir ortaya çıkacak bir olayı ifade eder. Yüksek talep veya sürekli talep ise yine -uygulamanın yerine göre- sık veya sürekli çalışacak bir emniyet fonksiyonunu ifade eder. Örnek olarak bir valfin açılıp kapanması emniyet kritik olaysa düşük talep olarak sınıflandırılabilir. Aynı hatta akan sıvı miktarının debi ölçümü emniyet kritik ise ilgili fonksiyon yüksek talep veya sürekli talep olarak sınıflandırılabilir. Bu tarz örneklerin uygulamanın yerine göre değişeceğinin tekrar altını çizmek gerekir. Başka bir uygulamada valfin açılıp kapanması yüksek talep modunda tanımlanabilir.

Düşük talep modunda sınıflandırılmış bir sistemin hata yapma oranları aşağıdaki tabloda verilmiştir. Tablodaki ortalama hata yapma olasılığı [h-1] cinsindedir. Örnek olarak SIL 1 seviyesinde bir sistemin hata yapma olasılığı 10 ile 100 saatte 1 aralığındadır. SIL 4 bir sistemin hata yapma olasılığı 10.000 ile 100.000 saatte 1 aralığındadır.

Yüksek talep veya sürekli talep modunda sınıflandırılmış bir sistemin hata yapma oranları aşağıdaki tabloda verilmiştir. Örnek olarak SIL 4 bir sistemin hata yapma olasılığı 100.000.000 ile 1.000.000.000 saatte 1 aralığındadır. Bu oran 11.415 ile 114155 yıl aralığında 1 hata olasılığına denk gelir.

IEC 61508 Fonksiyonel Emniyet Standardı, Bölümleri ve Kısa Açıklamaları

IEC 61508, emniyetli ilgili elektrik/elektronik/programlanabilir elektronik sistemlerde fonksiyonel emniyet uygulamalarının uluşlararası standardıdır. IEC 61508, emniyeli elektronik ekipmanların SIL sınıfını belirlemek için gereken tüm çalışma, süreçleri ve yöntemleri tanımlar. Bu standard otomotiv, raylı ulaşım, proses endüstrisi gibi bir çok alanda var olan standarda rehber niteliğinde, genel kapsamlı yapıdadır.

IEC 61508 standardı 7 bölümden oluşur. Tüm bölümler toplamda 628 sayfadır. Bu bölümler;

1. Genel gereksinimler: Projenin yaşam döngüsünün nasıl yönetileceği ile ilgili kuralları barındırır. Proje yönetimi ve dokümantasyon konularına odaklıdır. Bu dokümanda, projeye konsept fazından başlayarak en son gerçekleştirilecek doğrulama fazına kadar tüm süreçler anlatılır. Dokümanın sonunda A ekinde örnek bir dokümantasyon yapısı verilir. 66 sayfadır.
2. Elektrik/elektronik/programlanabilir elektronik emniyet ile ilgili sistemler için gereksinimler: Projenin emniyet ile ilgili kısmının yaşam döngüsünün nasıl yönetileceği ile ilgili kuralları barındırır. Bu dokümanın eklerinde ise emniyet koşulları ile ilgili çeşitli teknikler verilmiştir. 94 sayfadır.
3. Yazılım gereksinimleri: Yazılım geliştirme süreçleri ile ilgili yaşam döngüsü boyunca uyulacak kuralları barındırır. Eklerde bu kuralları gerçekleştirmek için uyulacak rehberler, teknikler ve örnekler bulunur. 116 sayfadır.
4. Tanımlamalar ve kısaltmalar: 61508 kapsamındaki tanımlamalar ve kısaltmalar listelenmiştir. 38 sayfadır.
5. Güvenlik bütünlüğü seviyelerinin belirlenmesi için yöntem örnekleri: 50 sayfadır.
6. IEC 61508–2 ve IEC 61508–3 uygulama yönergeleri: 116 sayfadır.
7. Teknik ve ölçümlere genel bakış: 148 sayfadır.

IEC 61508 standartının riskler hakkındaki yaklaşımı;

• Risk her zaman vardır. Risk hiç bir zaman sıfır olmaz. Bu standardın amacı riskin ihtimalini mümkün olan en aza indirmektir.
• Tolere edilemez riskler azaltılmalıdır.
• Tüm güvenlik yaşam döngüsünde ele alındığında optimum, uygun maliyetli güvenlikli sistem elde edilir.

Endüstriye Özel Standardlar

IEC 61508 genel bir standarttır ve uygulandığı endüstriye göre farklılıklar içerir. Bu farklılıklar ilgili endüstrilerin kendi standardları içerisinde verilmiştir. Bunlara örnek olarak aşağıdaki standardlar vardır.

• Otomotivde ISO 26262
• Raylı ulaşımda IEC 62279
• Proseste IEC 61511
• Nükleerde IEC 61513

Emniyetle kalın!