Die strengen Spezifikationen für funktionale Sicherheit der Internationalen Organisation für Normung (ISO) 26262 gewährleisten, dass die zunehmend komplexen und anspruchsvollen Automobil-Anwendungen sicher funktionieren. (Bild: AdobeStock 452921919, kaptn)
Heutige Automobile enthalten Hunderte bis Tausende Halbleiter und andere Komponenten für immer mehr Anwendungen, wie z. B. Touch-Interfaces, Onboard-Ladegeräte, Batteriemanagementsysteme und vieles mehr. Die strengen Spezifikationen für funktionale Sicherheit der Internationalen Organisation für Normung (ISO) 26262 gewährleisten, dass diese zunehmend komplexen und anspruchsvollen Anwendungen sicher funktionieren.
Worum geht es bei ISO 26262?
Die Norm ISO 26262 definiert Spezifikationen für die funktionale Sicherheit elektrischer und/oder elektronischer Systeme, die in serienmäßig hergestellten Straßenfahrzeugen (ausgenommen Mopeds) eingebaut sind. Diese ISO-Norm erschien 2011 und wurde 2018 zur Aufnahme eines Abschnitts über Halbleiter überarbeitet; sie schreibt einen Entwicklungsprozess von der Spezifikation bis zur Produktionsfreigabe vor. Automobilhersteller und -Zulieferer müssen diesen Prozess befolgen und dokumentieren, wenn sie Bauelemente für funktionale Sicherheit in Straßenfahrzeugen qualifizieren.
Die Zertifizierung von Systemen erfolgt über die Bestätigung eines unabhängigen Gutachters, dass sie die Anforderungen der ISO-Norm 26262 erfüllen. Anwendungen im Fahrzeug werden entsprechend ihrer Sicherheitsrelevanz in verschiedene Automotive Safety Integrity Levels (ASILs) eingestuft. Einige Anwendungen haben beim Ausfall eines elektrischen oder elektronischen Systems ein höheres inhärentes Sicherheitsrisiko. Die Stufen A bis D orientieren sich an der Schwere und Wahrscheinlichkeit potenzieller Verletzungen und dem Ausmaß, in dem sich diese kontrollieren lassen. Außerdem gibt es entsprechende Sicherheitsanforderungen für die zugrundeliegenden Komponenten. ASIL-D entspricht der höchsten Gefahrenstufe für Anwendungen wie Airbags, Antiblockiersysteme und Servolenkungen. Komponenten wie Rückleuchten fallen in die Kategorie ASIL-A. Scheinwerfer und Bremslichter entsprechen im Allgemeinen ASIL-B. Ein System wie der Tempomat gehört in die Kategorie ASIL-C. Je höher die ASIL-Stufe, desto höher sind in der Regel die Anforderungen an die Hardware-Redundanz.
Es gibt mehrere Ansätze, mit denen Komponentenlieferanten die Entwicklung einer Sicherheitsanwendung und deren ISO-26262-Zertifizierung beschleunigen können. Bild 1 zeigt diese Ressourcen der funktionalen Sicherheit. Zunächst gilt es, die Komponenten sorgfältig auszuwählen, damit sie die nötigen Ressourcen für die funktionale Sicherheit enthalten. Zu diesen Ressourcen zählen FMEDA-Berichte (Failure Mode Effect and Diagnostics Analysis) und Sicherheitshandbücher. Die Bauteile erfordern zudem die Unterstützung durch ein Entwicklungssystem, das für die Erstellung sicherheitskritischer Anwendungen qualifiziert ist.
Häufig gestellte Fragen zu funktionale Sicherheit und ISO 26262
Frage 1: Warum ist die ISO 26262-Zertifizierung für die Automobilindustrie wichtig?
Antwort: Die ISO 26262-Zertifizierung gewährleistet, dass elektrische und elektronische Systeme in serienmäßig hergestellten Straßenfahrzeugen sicher funktionieren. Angesichts der zunehmenden Komplexität und Anspruchsvollheit der Automobilanwendungen ist es wichtig, die funktionale Sicherheit zu gewährleisten, um potenzielle Risiken und Unfälle zu minimieren.
Frage 2: Wie können Halbleiterindustrie und Ökosysteme für funktionale Sicherheit die ISO-26262-Zertifizierung beschleunigen?
Antwort: Die Halbleiterindustrie stellt OEMs und Zulieferern komplette Ökosysteme für funktionale Sicherheit zur Verfügung. Diese Ökosysteme umfassen zertifizierte Ressourcen wie FMEDA-Berichte, Sicherheitshandbücher und Diagnosebibliotheken, die den Entwicklungs- und Zertifizierungsprozess gemäß ISO 26262 beschleunigen können.
Frage 3: Welche Rolle spielen Automotive Safety Integrity Levels (ASILs) in Bezug auf die funktionale Sicherheit?
Antwort: Die ASILs werden verwendet, um Anwendungen im Fahrzeug basierend auf ihrer Sicherheitsrelevanz zu klassifizieren. Je höher das ASIL-Level, desto strenger sind die Anforderungen an die Hardware-Redundanz und andere Sicherheitsmerkmale. Die ASILs helfen dabei, die Risiken von Systemausfällen in sicherheitskritischen Anwendungen zu bewerten und zu minimieren.
Frage 4: Welche zusätzlichen Anforderungen gibt es neben der AEC-Qualifikation für funktionssichere ICs?
Antwort: Neben der AEC-Qualifikation müssen funktionssichere ICs zusätzliche Hardware-Sicherheitsfunktionen aufweisen, wie beispielsweise Fehlererkennung und -korrektur, Speicherschutz, Taktsysteme mit Erkennung von Taktausfällen und GPIO-Schutz vor elektrostatischer Entladung (ESD). Diese Funktionen dienen der Verbesserung der Betriebssicherheit und Zuverlässigkeit in sicherheitskritischen Anwendungen.
Frage 5: Welche Entwicklungswerkzeuge können Entwicklern bei der ISO-26262-Zertifizierung unterstützen?
Antwort: Entwicklungswerkzeug-Pakete, die als Teil eines zertifizierten Entwicklungssystems für funktionale Sicherheit geliefert werden, erleichtern die Einhaltung der Verifizierungs- und Validierungsanforderungen gemäß ISO 26262. Diese Pakete umfassen oft auch Codeabdeckungs-Werkzeuge, die bei der Messung der Testabdeckung und der Optimierung des Zertifizierungsprozesses helfen.
Voraussetzungen für funktionale Sicherheit
In aktuellen Automobilen kommt eine Vielzahl von ICs zum Einsatz. Mikrocontroller (MCUs) in verschiedensten Formen sind besonders weit verbreitet. Sie sind für alle elektronischen Steuergeräte (ECUs) erforderlich und finden im gesamten Fahrzeug Verwendung zur Bereitstellung von Komfortfunktionen wie z. B. selbstfahrenden Autos und zahlreichen anderen anspruchsvollen Funktionen. Sie reichen von 8-Bit-MCUs, die für Leistung, Energieeffizienz und Echtzeitsteuerung optimiert sind und zugleich hardwarebasierte Touch-Schnittstellen bieten, bis hin zu 32-Bit MCUs, die Multithreading-Anwendungen ausführen können und über Grafik-, Konnektivitäts- und Sicherheitsfunktionen verfügen. Darüber hinaus gibt es Digital Signal Controllers (DSCs), eine Kombination aus einer MCU und einer DSP-Engine, die robuste und schnelle deterministische Leistung für Sensoren, Motoren oder Energieumwandlung bieten.
Jedes dieser ICs muss in erster Linie die vom Automotive Electronics Council (AEC) festgelegten Qualifikationsstandards für die Herstellung und Leistung erfüllen. Die AEC-Q100-Standards definieren einen Stresstest-Qualifizierungsprozess, der auf Fehlermechanismen beruht und verschiedene Temperaturklassen umfasst. Je nach Anwendung muss eine MCU nach AEC Q100 Klasse 2, Klasse 1 oder Klasse 0 qualifiziert sein: Klasse 0 = 150 °C, Klasse 1 = 125 °C und Klasse 2 = 105 °C.
Im Video: ISO 26262 - Funktionale Sicherheit auf einen Blick (engl.)
Dieses Video einer Videoreihe gibt einen ersten Einblick in die ISO 26262 für alle, die sich noch nicht mit ISO-Norm, Funktionale Sicherheit von Straßenfahrzeugen, beschäftigt haben.
ISO 26262: Anforderungen jenseits von AEC
Jenseits der AEC-Qualifikation hängen die zusätzlichen Anforderungen für spezielle funktionssichere Merkmale vom Gerät und der Anwendung ab. 8-Bit-MCUs enthalten beispielsweise oft CAN FD für Fahrzeugschnittstellen und intelligente Sensornetzwerke; sie dienen in der Regel als Benutzerschnittstellen-Controller für mechanische und kapazitive Tasten im Innenraum, am Lenkrad, in der Mittelkonsole oder als Teil eines schlüssellosen Zugangssystems. Die für diese MCUs erforderlichen integrierten Hardware-Sicherheitsfunktionen beziehen sich gewöhnlich auf Speicher, Systemreset, sichere Codeausführung, sichere Kommunikation und GPIO-Schutz (General-Purpose Input/Output). Ergänzend sind zur Verbesserung der Betriebssicherheit und Zuverlässigkeit spezielle Core Independent Peripherals (CIPs) und andere Funktionen wie Power-On Reset (POR), Brown-Out Reset (BOR), Windowed Watchdog Timer (WWDT) und Cyclic Redundancy Check (CRC) integriert (siehe Bild 2).
Auf dem Weg zu funktionssicheren 16-Bit-DSCs umfassen die erforderlichen Hardware-Sicherheitsfunktionen in der Regel einen Speicher mit Fehlererkennung und -Korrektur, einen integrierten Selbsttest des Speichers (MBIST), Taktüberwachung und einen redundanten Oszillator. Dazu kommen noch weitere Funktionen zur Fehlererkennung, Selbstdiagnose, Systemdiagnose und Fehlerbegrenzung. Diese funktionssicheren Bausteine ermöglichen die Entwicklung von sicherheitskritischen Hochleistungs-Embedded-, Sensor-Interfacing-, Digital Power- und Motorsteuerungsanwendungen. Typische Einsatzgebiete sind DC/DC-Systeme, On-Board-Ladegeräte (OBCs), Aktoren und Sensoren (Position, Druck), Touch- und andere Steuereinheiten, die ASIL-B oder ASIL-C erfüllen sollen. Bild 3 zeigt ein Beispiel für die Merkmale einer funktionssicheren DSC.
Wie alle funktionssicheren MCUs benötigen auch 32-Bit MCUs Hardware-Merkmale wie Speicher mit Fehlerkorrekturcode (ECC) und Fehlerinjektion, Memory Built-in Self Test (MBIST), Taktsysteme einschließlich Backup-Oszillatoren und Erkennung von Taktausfällen sowie GPIO mit Schutz vor elektrostatischer Entladung (ESD) (Bild 4). Wichtig sind auch Systemüberwachungen wie POR, BOR, WDT und Hardware-CRC-Funktionalität sowie eine Speicherschutzeinheit. 32-Bit MCUs kommen in einer Reihe von Anwendungen zum Einsatz, von Systemen für den Innenraum bis hin zu Advanced Driver-Assistance Systems (ADAS) für die funktionale Sicherheit.
Die ASIL-C/D-Sicherheitsstufen lassen sich auch mit Standard-MCUs und DSCs erreichen, indem die primäre MCU oder DSC mit einer sekundären oder einem Sicherheits-Coprozessor kombiniert wird. Dies lässt sich durch Anwendung des ASIL-Zerlegungsprinzips erreichen: So lassen sich zwei ASIL-B-konforme Teilsysteme kombinieren, um ein höheres ASIL-Niveau wie ASIL C/D zu erreichen:
ASIL-C = ASIL-B (C) + ASIL-A (C)
ASIL-D = ASIL-B (D) + ASIL - (D) = ASIL-C (D) + ASIL-A (D)
Die Aufteilung erfolgt durch Partitionierung der Sicherheitsanforderungen gegenüber den tatsächlichen Geräten.
Entwicklungswerkzeuge und Zertifizierungsunterstützung nach ISO 26262
Entwicklungswerkzeug-Pakete, die als Teil eines kompletten Entwicklungssystems für funktionale Sicherheit zertifiziert sind, können die Einhaltung der in der Norm ISO 26262 festgelegten Verifizierungs- und Validierungsanforderungen erleichtern. Dies gilt insbesondere für MCU- und DSC-basierte Designs. Tool-Lieferanten arbeiten mit unabhängigen Bewertungs- und Zertifizierungsstellen zusammen, um Compiler für die funktionale Sicherheit zu zertifizieren. Dazu gehören in der Regel zusätzliche Unterlagen wie ein Zertifikat, ein Handbuch zur funktionalen Sicherheit, ein Sicherheitsplan sowie Klassifizierungs- und Qualifizierungsberichte für die Compiler, die integrierte Entwicklungsumgebung (IDE), die Debugger und die Programmer. Dieses Dokumentationspaket zur funktionalen Sicherheit vereinfacht die Qualifizierung der Werkzeuge und die Zertifizierung der Endanwendung.
Idealerweise sollte im Entwurfsprozess auch ein Codeabdeckungs-Werkzeug zum Einsatz kommen, um zu messen, wie gut der Code getestet wurde, und um festzustellen, welche Teile der Software ausgeführt wurden und welche nicht. Das Codeabdeckungs-Tool sollte auch in die Klassifizierungs- und Qualifizierungsberichte aufgenommen werden. Hier ist ein Tool sinnvoll, das in einem einzigen Durchgang testen kann, ohne den Code in Blöcke aufzuteilen. Dies würde umfangreiche Hardwareänderungen, teure Software und einen erheblichen Aufwand für die Suche nach relevanten Informationen in großen Dateien erfordern. Für die Zertifizierung von Anwendungen sind Code-Testdaten erforderlich. Daher spielen Single-Pass-Code-Coverage-Tools eine wichtige Rolle bei der Optimierung des Prozesses und der Verkürzung der Markteinführungszeit.
Was Entwickler darüber hinaus vom Halbleiterlieferanten brauchen
Für die Entwicklung einer ISO-26262-konformen Automobilanwendung benötigt ein Ingenieur neben dem Datenblatt des Geräts eine Reihe weiterer Ressourcen vom Halbleiterlieferanten. Die Verfügbarkeit von Paketen zur funktionalen Sicherheit bietet Automobil-OEMs und -Zulieferern alles, was sie in den verschiedenen Phasen des Evaluierungs- und Entwicklungszyklus benötigen. Diese Pakete sollten zertifizierte Sicherheitshandbücher, FMEDA-Reports und in einigen Fällen auch Diagnosesoftware wie zertifizierte Selbsttestbibliotheken für relevante ASILs umfassen.
Der FMEDA-Bericht quantifiziert die Fehlermodi des Bauelements, seine Failure-In-Time (FIT)-Ratenverteilung und die entsprechenden Erkennungsmethoden für die Erstellung eines Abdeckungsplans. Eine weitere wichtige Ressource ist das Sicherheitshandbuch (SM). Es enthält Einzelheiten zu den im FMEDA-Bericht genannten Fehlererkennungsmethoden und gibt Empfehlungen, wie das Bauelement für einen möglichst sicheren Betrieb einzusetzen ist. Es umfasst eine Beschreibung der bedingten Fehler und der Hardware-Merkmale zur Erkennung systematischer Fehler, die sich für die Entwicklung von Diagnosebibliotheken nutzen lassen. Diagnosebibliotheken für funktionale Sicherheit können dabei helfen, den Betriebszustand eines Systems unter Fehlerbedingungen zu bewerten, zufällige Systemfehler zu erkennen und die Ziele der funktionalen Sicherheit zu erreichen. Die Auswahl eines Bauelements, das einen von einem Dritten zertifizierten FMEDA-Bericht und ein Sicherheitshandbuch sowie Diagnosebibliotheken bietet, vereinfacht die Zertifizierungsarbeiten für eine sicherheitskritische Anwendung.
Starter- und Komplettpakete für Entwickler
Ein Starterpaket für funktionale Sicherheit für ein MCU-basiertes Design würde idealerweise eine ASIL-B-Ready-zertifizierte FMEDA, ein Sicherheitshandbuch und ASIL-B/C-konforme Diagnosebibliotheken in Kombination mit einer Referenzanwendung enthalten. Dieses Paket hilft Entwicklern zu verstehen, wie sich diese Ressourcen zur Entwicklung einer sicherheitskritischen Anwendung unter Einhaltung des ISO-26262-Prozesses einsetzen lassen. Ein Starterpaket hilft, den Designzyklus zu beschleunigen und eine Anwendung gemäß ASIL-B oder C zu entwickeln.
Ein Komplettpaket für funktionale Sicherheit kann das Angebot um zertifizierte Diagnosebibliotheken mit Quellcode und relevanten Sicherheitsanalyseberichten für Designs bis ASIL-B/C erweitern. Da viele Endkunden die Zertifizierung einer sicherheitskritischen Anwendung verlangen, beschleunigt das Komplettpaket den Zertifizierungsprozess.
Zertifizierte Ressourcen für ISO 26262
Automobile werden zunehmend ausgefeilter, und ihr Elektronikanteil wächst. Daher ist es heute immer wichtiger, dass die auf funktionale Sicherheit ausgerichteten Produkte für Automobilanwendungen Entwicklungs-Ökosysteme unterstützen, die zertifizierte Ressourcen für funktionale Sicherheit zur Erfüllung der ISO-26262-Anforderungen bieten. IC-Anbieter können Automobilkunden auch dabei helfen, ihre langfristigen Investitionen in diesem anspruchsvollen Entwicklungs- und Zertifizierungsprozess zu schützen. Sie können gewährleisten, dass Teile für den Einsatz in einem zertifizierten System so lange lieferbar sind, wie der Kunde sie bestellen möchte, und so das Risiko eines erzwungenen Redesigns aufgrund eines unerwartet eintretenden End-of-Life- Abkündigung eines Bauteils ausschließen. Dies erhöht das Vertrauen, dass sich die Zertifizierung nicht nur schnell und einfach durchführen lässt, sondern dass sich auch nur einmal durchzuführen ist. (na)
