Sicherheitskritische Systeme dürfen nicht versagen. Falls doch, können die Konsequenzen fatal sein. Zahlreiche tragische Unfälle verdeutlichen dies, wie zum Beispiel die katastrophale Zugkollision bei Chatsworth, Kalifornien, im Jahr 2008. Hier stießen zwei entgegenkommende Züge auf einem eingleisigen Streckenabschnitt frontal zusammen. Einer der jüngsten Vorfälle ist der tödliche Unfall durch ein autonomes Auto von Uber in Arizona. Hier führte ein Technikversagen dazu, dass das Fahrzeug vor der Kollision mit einem Menschen nicht zum Stillstand kam.

Selbst ganz alltägliche Sicherheitssysteme wie Verkehrsampeln oder diverse Anlagensteuerungen und Sicherheitssysteme in Kraftwerken und Anlagen der Prozessindustrien können bei einem Defekt der Steuerelektronik immense Schäden verursachen.

Hohe Anforderungen an elektronische Komponenten

Bild 1: Die digitalen IO-Karten K1, K2 und K7 setzen ein Bahnstandard-konformes Sicherheitsprotokoll nach EN50159 um.

Bild 1: Die digitalen IO-Karten K1, K2 und K7 setzen ein Bahnstandard-konformes Sicherheitsprotokoll nach EN50159 um. MEN

Um Menschenleben zu schützen und Umweltkatastrophen zu verhindern, dürfen sicherheitskritische Systeme auf keinen Fall versagen. Die Anforderungen an alle beteiligten Komponenten sind deshalb besonders hoch. Je nach Einsatzgebiet müssen solche Systeme auch in rauen Umgebungen funktionieren, mitunter redundant angelegt sein und immer innerhalb eines definierten Zeitraums (deterministisch) agieren, um verlässlich auf ein Gefahrenereignis reagieren zu können. Hierzu sollte die Funktion eines sicherheitskritischen Systems überwachbar sein, sodass das System auf abweichende Messwerte, inkonsistente Daten oder andere negative Einflüsse immer entsprechend reagieren kann.

Eckdaten

Sofern wichtige und zwingend benötigte diskrete Bauelemente in sicherheitskritischen Systemen nicht (mehr) verfügbar sind, ist es sinnvoll auf FPGA-Schaltungen zurückzugreifen. FPGAs sind in der Lage hohe SIL-Sicherheitsanforderungen in unterschiedlichen Branchen wie der Bahntechnik, Luftfahrt, Medizintechnik und Industrie vollumfänglich zu erfüllen. Außerdem können sie sicherheitskritische Funktionen mithilfe von Software abbilden, wodurch sich die Frage der Obsoleszenz erübrigt. Denn Software lässt sich vergleichsweise leicht auf neue Hardware migrieren. Aufgrund der Software-basierenden Funktionalität haben FPGAs zudem den Vorteil, dass sie sich auch für langfristig geplante Projekte eignen.

Die meisten am Markt erhältlichen diskreten Bauelemente unterstützen die geforderten Monitoring-Funktionen in der Regel jedoch nicht. Dabei sind sie oft zwingend erforderlich, um beispielsweise bestimmte Sicherheitsnormen für elektronische Systeme einhalten zu können. Gibt es sie dennoch, besteht bei längerfristig angelegten Projekten die Herausforderung der Verfügbarkeit über einen langen Zeitraum hinweg, um hohe Retrofit-Folgekosten zu vermeiden. Das trifft beispielsweise für Sicherheitslösungen im Bahnbereich zu, deren Komponenten oft jahrzehntelang im Einsatz sind.

Ein Lösungsweg aus dieser Hardwareproblematik ist die Abbildung sicherheitskritischer Funktionen über Software. Dieser Ansatz löst die Fragestellung der Obsoleszenz, weil sich Software vergleichsweise leicht auf neue Hardware migrieren lässt. Sie ist aber kein Allheilmittel, denn zum einen gestaltet sich der Nachweis der Sicherheit bei einem umfangreichen Sourcecode sehr komplex. Zum anderen ist es nicht trivial, das deterministische Verhalten sicherzustellen. Die Gesamtlösung aus Hard- und Software ist hierfür nämlich umfassend auf die Echtzeitfähigkeit zu testen. Aus all diesen Gründen setzen Entwickler von sicherheitskritischen Systemen vermehrt auf FPGAs.

FPGAs und funktionale Sicherheit

FPGAs sind durch das funktionale Design gut auf die genannten Anforderungen vorbereitet und spielen deshalb als elektronische Bausteine in sicherheitskritischen industriellen Systemen eine besonders wichtige Rolle, denn sie enthalten alle geforderten Funktionen. So bietet der Einsatz von FPGAs die Möglichkeit, Sicherheitsfunktionen sehr genau an spezielle branchenspezifische Anforderungen anzupassen – auch im Einklang mit den jeweils erforderlichen Sicherheitsnormen. Ein entscheidender Vorteil liegt dabei im flexiblen Aufbau von FPGAs mit mehreren funktionalen Einheiten oder IP Building Blocks, die sich abhängig von den Anforderungen kombiniert einsetzen lassen und nicht jedes Mal neu entwickelt werden müssen. Solche IP Building Blocks kommen zum Beispiel bei den robusten und sicheren digitalen IO-Karten K1, K2 und K7 von MEN Mikro Elektronik zum Einsatz (Bild 1), um effizient weitere K-Karten der Men-TCS-Familie hinzuzufügen.

Ist ein FPGA Teil einer größeren Einheit (Prozessorboard, Carrierboard mit Computermodul oder Erweiterungsbaugruppe), lassen sich funktionale Anpassungen an das spezifische Einsatzfeld oder den geforderten Sicherheitsgrad innerhalb des FPGAs vergleichsweise flexibel vornehmen, ohne dazu das komplette Board neu designen zu müssen. So lässt sich eine einzige Hardwarelösung an verschiedene Applikationen anpassen.

Funktionale Sicherheit durch Design

Weitere Kosten- und Zeitersparnisse bieten FPGAs auch während der Entwicklung eines sicherheitskritischen Systems. Über die verfügbaren Tools können die Entwickler von Systemboards das Fehlerverhalten von FPGAs komfortabel testen. Die Entwicklungsumgebung für FPGAs erlaubt es beispielsweise, selbst komplizierte Fehler virtuell zu simulieren und so das System auf das gewünschte Verhalten im Fehlerfall anzupassen. Neben der Simulation des Verhaltens beim Eintritt eines Fehlers lässt sich mit den Entwicklungstools auch die korrekte Funktion eines FPGA-Designs nachweisen. Insofern können Board-Lieferanten ihren OEMs in den unterschiedlichen Branchen auch perfekte Zertifizierungsgrundlagen mit den entsprechenden Dokumentationen liefern, was den OEMs die Implementierung und Zertifizierung ihrer Lösungen entsprechend erleichtert.

Ein weiterer Vorteil von FPGA-Komponenten besteht darin, dass sich die in sicherheitskritischen Systemen essentiellen Überwachungsfunktionen vom Board-Hersteller bedarfsgerecht integrieren lassen. Funktionen wie die Temperaturmessung oder die Überwachung der Funktionsfähigkeit von Komponenten sind in diversen Normen für sicherheitskritische elektronische Systeme zwar vorausgesetzt, aber nicht immer in identischer Form benötigt. So sind FPGA-Systemboards für sicherheitskritische Systeme in der Regel meist für den Einsatz im Temperaturbereich zwischen -40 und 85 °C zugelassen. Lässt sich die geforderte Überwachungslogik der Boards entsprechend flexibel über FPGA anpassen, reduziert sich der Engineering-Aufwand für Board-Entwickler.

Redundanzen mit Voting-Funktion

Bild 2: Das SIL-4-zertifizierte IO-Prozessorboard F75P im CompactPCI-PlusIO-Formfaktor integriert drei Intel Atom E680T-Prozessoren.

Bild 2: Das SIL-4-zertifizierte IO-Prozessorboard F75P im CompactPCI-PlusIO-Formfaktor integriert drei Atom-E680T-Prozessoren. MEN

Umwelteinflüsse in rauen Umgebungen, zum Beispiel kosmische Strahlung in elektronischen Flugzeugbauteilen, können Speicherfehler produzieren und so die Funktion des kompletten Sicherheitssystems gefährden. Mit FPGAs besteht die Möglichkeit, mehrere funktional identische Komponenten redundant anzulegen und mit einer zusätzlichen Voting-Funktion zu versehen. Liefert eine dieser Redundanzkomponenten nun einen etwa durch kosmische Strahlung verursachten fehlerhaften Wert, können die anderen, korrekt funktionierenden Komponenten diese mit der Voting-Funktion überstimmen.

Derartige funktionale Redundanzen lassen sich innerhalb eines einzelnen FPGA relativ einfach durch funktionsgleiche IP Blocks realisieren, indem die Entwickler die Einheiten einfach im entsprechenden Entwicklungstool kopieren. Darüber hinaus lassen sich auch mehrere FPGAs als redundante Einheiten schalten. Dabei lässt sich auch die IP-Logik des ursprünglichen FPGA mit relativ wenig Aufwand auf die redundanten FPGA-Komponenten übertragen (Bild 2). So ist es möglich, dass das System selbst einen Hardware-bedingten Ausfall eines FPGAs abfängt.

Deterministische Signalverarbeitung

Bild 3: In sicherheitskritischen Anästhesie-Beatmungsgeräten kommen zwei redundante EM9A COM-Module (IEC 68-2, MIL STD.810E) auf Basis von MPC8548/MPC8543-PowerPCs zum Einsatz.

Bild 3: In sicherheitskritischen Anästhesie-Beatmungsgeräten kommen zwei redundante EM9A-COM-Module (IEC 68-2, MIL STD.810E) auf Basis von MPC8548/MPC8543-PowerPCs zum Einsatz. MEN

Sicherheitskritische Systeme sind auf die deterministische Verarbeitung von Signalen angewiesen, denn die Echtzeitverarbeitung spielt in allen etablierten sicherheitskritischen Applikationen eine essentielle Rolle. Eine nicht deterministische Signalverarbeitung kann nämlich fatale Auswirkungen haben. FPGAs unterstützen Determinismus vollumfänglich.

Jeder I/O-Prozess ist dabei durch eine eigene Schaltung auf dem FPGA abgebildet und nimmt einen zeitlich exakt vordefinierten Weg. Durch die parallele Struktur eines FPGA lassen sich sogar konkurrierende Prozesse, die sich im schlimmsten Fall gegenseitig sogar behindern, per Design vermeiden. Damit sind auch die Reaktionszeiten eines solchen Systems immer exakt vorhersagbar und deterministisch – und dies selbst bei hohen Frequenzen, um beispielsweise die Signalkonsistenz von Feldbussen, Ethernet und/oder PCIe zu überwachen und dadurch Übertragungsfehler zu entdecken, die zu falschen Entscheidungen eines sicherheitskritischen Systems führen können (Bild 3).

Funktionale Langzeitverfügbarkeit

Aufgrund der softwarebasierenden Funktionalität haben FPGAs zudem den Vorteil, sich auch für langfristig geplante Projekte zu eignen. Denn die meisten heute produzierten Elektronikkomponenten sind oftmals in spätestens zehn Jahren nicht mehr verfügbar. Dieses Problem trifft beispielsweise den Bahnbereich, dessen Systeme oft über mehrere Jahrzehnte im Einsatz sind. Da die funktionale Eigenschaft eines FPGA vornehmlich in der Software steckt, lässt sich diese Funktionalität bei Bedarf auf einen neueren FPGA portieren. Somit haben OEM-Kunden, die Embedded Computing Boards mit FPGA-basierender Sicherheitslogik einsetzen, keine Obsoleszenz-Probleme; der Board-Hersteller kann selbst über lange Zeiträume hinweg funktionsidentische Embedded-Logik liefern, auch wenn der bisher verwandte FPGA nicht mehr verfügbar ist.

Es empfiehlt sich deshalb, für sicherheitskritische Embedded-Computersysteme – seien es Standard-CPU- und Erweiterungsbaugruppen oder kundenspezifische Systeme –  FPGAs in Betracht zu ziehen, um hohe SIL-Sicherheitsanforderungen in unterschiedlichen Branchen wie beispielsweise der Bahntechnik, Luftfahrt, Medizintechnik und Industrie zu erfüllen.