Elektronische Systeme müssen bei kontinuierlich steigender Komplexität eine Reihe von Anforderungen erfüllen. So sollen sie möglichst robust sein, eine lange Lebensdauer erreichen und über immer mehr Rechenleistung zum Auswerten von hochauflösenden Sensorsignalen verfügen. Gleichzeitig müssen Systeme sicherheitsrelevante Standards wie die Norm IEC 61508 erfüllen, um beispielsweise Personen sicher zu befördern sowie Risiken bei der Nutzung von Industriemaschinen und eventuelle Gefahren für Menschen und Maschinenteile zu minimieren. Wenn ein System nachweislich nach aktuellen Sicherheitsnormen zertifiziert worden ist, lassen sich auch Schadenersatzansprüche abwenden.

Das Ziel der funktionalen Sicherheit besteht darin, systematische Fehler bereits in der frühen Entwicklungsphase zu verhindern. Falls im laufenden Betrieb dennoch ein Fehler auftritt, gilt es diesen zu erkennen und sicher zu beherrschen, bis das System in einen sicheren Zustand überführt worden ist. Im Automobilbereich schafft das Aktivieren eines Notlaufprogramms die notwendige Sicherheit, wenn zum Beispiel ein wichtiger, für die Motorsteuerung zuständiger, Temperatursensor ausfällt.

Eckdaten

Um Geräte- und Systemherstellern die Einhaltung von Normen für die funktionale Sicherheit zu erleichtern, hat NXP sein Safe-Assure-Programm aufgelegt. Für den Automobilbereich umfasst das Konzept Mikrocontroller, die mit einem redundant integrierten Konzept auf hohe Sicherheit ausgelegt sind und zahlreiche sicherheits- und leistungsrelevante Eigenschaften mitbringen.

Zufällige Fehler vermeiden

Sobald das Notlaufprogramm einspringt, kann der Fahrer mit verringertem Risiko einer Motorüberhitzung die nächste Werkstatt aufsuchen. Auch in der intelligenten Produktion, etwa in der Kommunikation zwischen Maschinen, lassen sich solche sicherheitsrelevanten Systeme vorteilhaft einsetzen.

Das Auftreten von zufälligen Fehlern hat unter anderem folgende Gründe:

  • unzureichend ausgelegte Systemarchitektur gegen Rauschen und elektromagnetische Störimpulse
  • geringe Testabdeckung während der Soft- und Hardware-Entwicklung
  • beschleunigte Alterungserscheinungen bedingt durch den Einsatz von Mikrocontroller-Technologien aus dem Consumerbereich (Bild 1)
  • Fehler im MCU-Maskensatz
  • SRAM-Fehler durch erhöhte Alpha-Strahlung aus der Moldmasse der MCU
  • SRAM-Fehler durch natürlich vorhandene Neutronenstrahlung

Mithilfe eines robusten Systemkonzepts und der Wahl von geeigneten Safety-MCUs mit einer speziellen Moldmasse lassen sich die Fehlerraten der ersten fünf Punkte positiv, der letzte Punkt jedoch nur geringfügig beeinflussen. Die Neutronenstrahlung, der Menschen täglich ausgesetzt sind (20 auf NN bis hin zu 25.000 Neutronen pro Stunde und cm2 auf Flughöhe), lässt sich nur mit viel Aufwand abschirmen und verursacht bei gängigen SRAMs lokale Störungen, die zum „Kippen“ der Bits führen können.

Bild 1: Zuverlässige Safe-Assure-MCUs durch Umsetzung von Automotive-Anforderungen und Standards bereits in der Produktentwicklung.

Bild 1: Zuverlässige Safe-Assure-MCUs durch Umsetzung von Automotive-Anforderungen und Standards bereits in der Produktentwicklung. NXP

Wegen des steigenden Bedarfs an MCUs für sichere Echtzeit-Berechnungen mit schnellen lokalen Speicherzugriffen in Kombination mit einem geringen Energieverbrauch sollten Entwickler die Anfälligkeit von SRAMs nicht vernachlässigen.

Redundanter Entwicklungsansatz

Um zufällige Fehler kontrollieren zu können ist ein redundanter Ansatz nach gängigen Sicherheitsnormen erforderlich. Im Industrieumfeld ist dies zum Beispiel ISO 13849, während für den Automobilbereich ISO 26262 gilt. Über Abstufungen von Sicherheits-Integritäts-Leveln lässt sich das Restrisiko quantifizieren (Bild 2).

Hierbei eignen sich Automotive-MCUs aus dem Safe-Assure-Programm von NXP, die mit ihrem redundant integrierten Konzept auf höchste Sicherheitslevel ausgelegt sind. Die MCUs verfügen über zahlreiche sicherheits- und leistungsrelevante Eigenschaften. Dazu gehören redundante Strukturen wie Power-Architektur-Rechenkerne (skalierbarer Flash-Speicher und bis zu 300 MHz) sowie DMA auf nur einem Chip, die im verzögerten Gleichtakt arbeiten (als Lockstep oder auch als Aufdopplung bekannt), um einzelne aber auch gleichzeitig auftretende Fehler zu detektieren.

Selbsttest für Speicher und Logik

Zusätzliche Paritätsbits zum Erkennen und Korrigieren von Fehlern (e2eECC und EDC) sowie ein in Hardware implementierter Selbsttest für Speicher und Logik zum Überwachen von latent auftretenden Fehlern sind weitere Merkmale der Mikrocontroller. Ferner ermöglichen die MCUs die Überwachung der Ein- und Ausgänge über Rückkopplung sowie die Überwachung von Takt, Spannung und Temperatur. Sie verfügen zusätzlich über einen unabhängigen Safety-Takt.

Hergestellt werden die MCUs in einem 55-nm-CMOS-Floating-Gate-Prozess. Sie sind nach Automobil-Anforderungen zertifiziert beziehungsweise qualifiziert und erfüllen hohe Anforderungen. Angewandte Automotive-Designregeln für die Entwicklung der Technologie und des Produkts einschließlich Gehäuse ermöglichen laut NXP eine Lebensdauer von bis zu 20 Jahren. Doppelte AEC-Q100 zur Technologieabsicherung für hohe Ansprüche an die MCU-Zuverlässigkeit sowie ein erweiterter Temperaturbereich bis 135 °C Tambient runden die Palette der MCU-Merkmale ab.

Um den gestiegenen Schutzanforderungen von sensiblen Daten in der MCU nachzukommen, hat NXP entsprechende IP-Module (HSM und CSE) implementiert, die sichere Boot-Vorgänge ermöglichen und Hacker-Angriffe erkennen. Zum Safe-Assure-Programm gehören ein auf Sicherheitsanforderungen ausgelegtes Softwarepaket inklusive Autosar MCAL, OS und BIST-Treiber. Zur technischen Realisierung bis hin zur Zertifizierung des Sicherheitssystems durch einen Gutachter erhalten Anwender Unterstützung mit der notwendigen Dokumentation (FMEDA und Safety-Anleitung).

Redundante Lösung mit nur einer MCU

Im Gegensatz zum klassischen Redundanzkonzept, bei dem zwei separate MCUs Daten korrelieren, bietet die redundant integrierte Lösung von NXP mit nur einer MCU den Vorteil, dass sich der Softwareaufwand erheblich vereinfacht. Dies bedeutet, dass Entwickler weniger Codezeilen programmieren und revisionieren müssen, was die Fehleranfälligkeit der Software reduziert. Ein weiterer Vorteil ist die Tatsache, dass sich kompaktere Leiterplatten entwickeln lassen, die sich schneller und kostengünstiger herstellen lassen.

Bild 2: Verbleibende Fehlerraten im System nach Sicherheits-Integrität-Level.

Bild 2: Verbleibende Fehlerraten im System nach Sicherheits-Integrität-Level. NXP

Zum Zertifizieren eines Safety-Systems nach IEC 61508 oder einer abgeleiteten Norm ist zunächst die Wahl einer geeigneten Safety-MCU entscheidend. NXP hilft bei der Auswahl mit seinem Safe-Assure-MCU-Portfolio in den Bereichen Motorsteuerung, Radar und Vision, Gateway, Karosserie, Fahrgestell und Allgemeine Anwendungen. Diese sind mit den hauseigenen System-Basis-Chipsätzen kombinierbar.

Danach empfiehlt es sich die Systemarchitektur zu definieren und abzuklären, ob die internen Firmenprozesse konform zu Qualitätsmanagementanforderungen (ISO 9001) sind. In der darauf folgenden Phase erfolgt die Festlegung des Safety-Konzepts mit den individuellen sicherheitsrelevanten Anforderungen. Die Dokumentation von NXP hilft Prozesse und Verantworlichkeiten über den gesamten Produktzyklus zu definieren, die es in der Entwicklungs- und Integrationsphase umzusetzen gilt. Über die FMEDA und das Safety-Handbuch werden Wahrscheinlichkeiten für gefährliche Fehler in den als sicherheitsrelevant definierten Funktionen bestimmt und Testfälle abgeleitet. Safety-Experten von akkreditierten NXP-Partnern unterstützen beim Professional Review des Konzeptes.

Anschließend erfolgen der Aufbau der Leiterplatten mit der Installation der Zielsoftware sowie die Inbetriebnahme. Die Leiterplatten durchlaufen entsprechend dem Lastenheft definierte Testfälle. Eine so als effizient und robust verifizierte Systemlösung einschließlich Prozessdokumentation vereinfacht die Zertifizierung durch einen Gutachter nach der jeweiligen Sicherheitsnorm.