Wo bisher stets spezielle Mikrocontroller wie beispielsweise Audo oder Aurix von Infineon beziehungsweise die Power-Architecture in den Qorivva-MCUs von Freescale zum Einsatz kamen, kann mittlerweile auch die ARM-Welt Einzug halten, denn ARM hat seinen Cortex-R5-Prozessor von Grund auf für safety-relevante Anwendungen qualifiziert. Der Core-Hersteller liefert jetzt die vollständigen Dokumentationen, die zur Qualifikation gemäß den funktionalen Sicherheitsstandards für die Bereiche Automotive (ISO 26262), Industrie (IEC 61511/61513), Medizin (IEC 62304), Bahntechnik (EN 5012x), Anlagenbau (IEC 62061 und ISO 13849), Luftfahrt (DO-178 und DO-254) sowie bei E/E/PE-Systemen (IEC 61508) zwingend erforderlich sind.

ARM Cortex-R5 eignet sich jetzt für Implementierungen gemäß fast jeder Safety-Norm, beispielsweise gemäß ISO 26262.

ARM Cortex-R5 eignet sich jetzt für Implementierungen gemäß fast jeder Safety-Norm, beispielsweise gemäß ISO 26262.ARM

„Vor einigen Jahren erkannten wir, dass es ein wirklich großes Differenzierungsmerkmal für uns sein wird, wenn wir diesen Dokumentationsprozess komplett durchlaufen – und genau so hat es sich für uns als IP-Anbieter auch herausgestellt, denn kein anderes Unternehmen kann seinen Kunden etwas Vergleichbares bieten“, erklärte Richard York, Vice President Embedded Marketing bei ARM, im Exklusiv-Interview mit all-electronics.de. „Wir sind in diesem Bereich mit Abstand das führende Unternehmen. Zwar sprechen Andere aus der IP-Perspektive über funktionale Sicherheit, aber wir sehen nur sehr geringe Anzeichen, dass sie das Thema auch bis zu der Ebene vorangetrieben haben, auf der wir uns befinden.“ Bereits im Laufe dieses Jahres will ARM dann mit Informationen über weitere Produkte, funktionale Sicherheitspakete, Workshops und Ähnliches an die Öffentlichkeit gehen.

Richard York (ARM): „Nachdem wir jetzt auch sämtliche formalen Aspekte in punkto funktionale Sicherheit erfüllen, gibt es überhaupt keinen Grund mehr, proprietäre Lösungen in Automotive-Anwendungen einzusetzen.“

Richard York (ARM): „Nachdem wir jetzt auch sämtliche formalen Aspekte in punkto funktionale Sicherheit erfüllen, gibt es überhaupt keinen Grund mehr, proprietäre Lösungen in Automotive-Anwendungen einzusetzen.“ARM

Zwar hat ARM bereits vor einigen Wochen sein Safety-Package vorgestellt, aber jetzt stehen den Chip-Designern auch die passenden Dokumentationen zur Verfügung, die sie für das Design von Chips benötigen, die Safety-Standards wie beispielsweise ISO 26262 genügen müssen. „Wir haben die Hardware in keinerlei Weise verändert, denn Cortex-R5 hat sich innerhalb der letzten Jahre nicht verändert“, betont Richard York ausdrücklich. „Allerdings hat sich die Art und Weise, wie und in welchem Umfang wir Dokumentationen zur Verfügung stellen, signifikant verändert.“ Außerdem bietet ARM jetzt ein Safety-Manual an. „Rein funktional gesehen war der Cortex-R5 schon seit Jahren für Safety-Anwendungen geeignet, aber jetzt können wir auch unter Beweis stellen, dass er safety-tauglich ist und entsprechend getestet wurde“, führt Richard York weiter aus. „Auch ein Audit ist für uns jetzt nur noch Aufwand, aber kein Problem mehr, weil wir unsere Hausaufgaben gemacht haben. Im Laufe der letzten drei Jahre haben wir die gesamte Verifikation erneut durchgeführt, aber keinen einzigen Bug gefunden.“

Safety-Package für ARM

Das Safety-Package von ARM umfasst mehrere Maßnahmen. So liefert ARM jetzt ein so genanntes Safety-Manual, das ziemlich detailliert über alle Features im Prozessor informiert, die zur Erkennung, für das Management und die Steuerung von Fehlerfällen implementiert sind. Im Safety-Manual finden sich unter anderem auch Infos über die Fehlerkorrektur, Speicherschutz-Mechanismen, den Dual-Core-Lockstep-Modus und Ähnliches.

Design- und Verifikations-Prozess für safety-relevante ARM-Controller.

Design- und Verifikations-Prozess für safety-relevante ARM-Controller.ARM

Als all-electronics.de ihn explizit auf die potenziellen Marktauswirkungen ansprach, antwortete Richard York: „Nachdem wir jetzt auch sämtliche formalen Aspekte in punkto funktionale Sicherheit erfüllen, gibt es überhaupt keinen Grund mehr, proprietäre Lösungen in Automotive-Anwendungen einzusetzen. Der Prozessor ist kein differenzierendes Feature mehr, sondern vielmehr ein gemeinsames Feature.“

Auch in punkto Security sieht Richard York keine Vorteile bei der Nutzung proprietärer Prozessor-Architekturen: „Wenn jeder die gleiche Architektur nutzt, dann erhöht das die Wahrscheinlichkeit, dass eventuelle Probleme schnell gefunden und gelöst werden können. Mit proprietären Architekturen beschäftigen sich einfach nicht so viele Menschen, so dass sie auch weniger stark getestet, ausprobiert und verwendet werden, aber hier bei ARM-Cores schauen wirklich viele Augen auf den Core. Wir sehen das als einen Pluspunkt an, aber nicht als einen Nachteil.“ Auch er ist somit der Meinung, dass die so genannte Security-by-Obscurity keine Security per se bringt.

Safety rundum

Noch im Laufe dieses Jahres will ARM die Verfügbarkeit der für Safety-Anwendungen relevanten Unterlagen für weitere Prozessoren bekanntgeben. Ganz nebenbei erwähnte Richard York dann, dass der Standard-ARM-Compiler jetzt vom TÜV Süd für safety-relevante Software zertifiziert wurde – und zwar bis ASIL D gemäß ISO 26262 beziehungsweise SIL 3 gemäß IEC 61508 ohne dass hierfür eine weitere Qualifizierung der Werkzeugkette notwendig wird.