Das Sicherheits- und Komfortniveau der Autos ist im Laufe des letzten Jahrzehnts dramatisch gestiegen. Inzwischen sind auch Fahrzeuge der unteren Preisklasse mit Fahrassistenzsystemen ausgestattet, die unter bestimmten Umständen nicht nur in Gas und Bremse, sondern auch in die Lenkung eingreifen. Zu voll autonomen Fahrzeugen ist es nicht mehr weit. Auch wenn noch nicht völlig klar ist, wann und wie autonome Automobile auf unsere Straßen kommen, entwickelt sich die entsprechende Technologie doch rasch weiter. Sämtliche etablierten Fahrzeughersteller investieren stark in Machine Learning (ML) und andere Bereiche des KI-Sektors (künstliche Intelligenz). Inzwischen tummeln sich viele neue Akteure auf diesem Gebiet – angelockt von dieser Technologie, die von allen Beteiligten einmütig als richtungsweisender Wachstumssektor eingeschätzt wird.

Das Herzstück der Innovation

Bild 1: der FSD-Chip von Tesla enthält Third-Party-IP sowie zwei Instanzen eines von Tesla selbst entwickelten Neural Network Accelerators.

Bild 1: Der FSD-Chip von Tesla enthält Third Party IP sowie zwei Instanzen eines von Tesla selbst entwickelten Neural Network Accelerators. Tesla, OneSpin

Komplexe elektronische Systeme bilden das Herzstück der Innovation auf dem Automobilsektor. Während traditionelle Automobilhersteller über enorme Erfahrung im Biegen von Blech und der Entwicklung von Verbrennungsmotoren verfügen, sind sie bei den Dutzenden elektronischer Steuergeräte (Electronic Control Units, ECUs) sowie der dazugehörigen Software, mit denen die Fahrzeuge nicht nur sicher – sowohl im Sinne von Zuverlässigkeit (Safety) als auch Vertrauenswürdigkeit (Security) –, sondern auch energieeffizient, komfortabel und allgemein intelligent werden, auf Automotive-OEMs und deren Tier-1-Zulieferer angewiesen. Für den Automobilsektor konzipierte, applikationsspezifische integrierte Schaltungen (ASICs), Field-Programmable Gate Arrays (FPGAs) und Systems-on-Chip (SoCs) aus der Entwicklung und Produktion von Unternehmen wie Infineon, Renesas, NXP oder Bosch erlangen eine immer entscheidendere Bedeutung für den langfristigen kommerziellen Erfolg der Automobilhersteller.

Tesla, eines der innovativsten Unternehmen der Welt, machte kürzlich in der Halbleiterindustrie Schlagzeilen. Obwohl es über keinerlei Erfahrung in der Hardwareentwicklung verfügt, beschloss das Unternehmen einen eigenen, hochgradig spezialisierten Chip zu entwickeln (Bild 1). Der im April 2019 vorgestellte FSD-Chip (Full Self-Driving) von Tesla beherbergt nicht nur zwei selbst entwickelte NNAs (Neural Network Accelerators), sondern darüber hinaus auch Intellectual Property (IP) von Drittunternehmen, etwa eine GPU (Graphics Processing Unit) und ein Arm-basierendes CPU-Subsystem. Nach Angaben von Tesla ist der FSD-Computer, der bereits in Tesla-Fahrzeugen eingesetzt wird und sich auf einer Leiterplatte mit zwei FSD-Chips befindet, 21-mal schneller als die vorherige, auf Nvidia-Technik basierende Lösung und kann mit einem knapp bemessenen Energiebudget 2300 Frames pro Sekunde verarbeiten. Wenn erst die erforderliche Software zur Verfügung stehe, so Tesla, könne der FSD-Computer für das autonome Fahren zum Einsatz kommen.

Analyse und Quantifizierung des Ausfallrisikos

Bild 2: Automotive-Chips enthalten eine Vielzahl von Sicherheitsmechanismen zur Vermeidung oder Kontrolle zufälliger Ausfälle. FMEDA ist ein beliebtes Verfahren zur Analyse des Risikos von Verletzungen der Sicherheitsziele.

Bild 2: Automotive-Chips enthalten eine Vielzahl von Sicherheitsmechanismen zur Vermeidung oder Kontrolle zufälliger Ausfälle. FMEDA ist ein beliebtes Verfahren zur Analyse des Risikos von Verletzungen der Sicherheitsziele. OneSpin

Schrumpfende Transistorgeometrien, ehrgeizige Stromverbrauchvorgaben und komplexe funktionale Anforderungen erhöhen das Risiko, dass es in integrierten Schaltungen (ICs) im Feld zu Fehlfunktionen kommt. Elektromigration, kosmische Strahlung, Alterung und andere physikalische Effekte können das Verhalten der Hardwarefunktionen kurzzeitig oder dauerhaft beeinträchtigen. Zufällige Hardwareausfälle wiederum können gefährliche Ereignisse nach sich ziehen und damit Sachschäden verursachen oder gar Menschenleben gefährden.

Die Functional-Safety-Norm ISO 26262 definiert Anforderungen an die Entwicklung, die Produktion und die Außerbetriebnahme von elektronischen Systemen für Straßenfahrzeuge. Die Norm spezifiziert vier Automotive Safety Integrity Levels von ASIL A bis ASIL D, wobei ASIL D die strengste Norm ist. Ein zentrales Konzept der ISO 26262 sind die Sicherheitsziele (Safety Goals), die durch zufällige Hardwareausfälle verletzbar sind. ASICs, FPGAs und SoCs für Automotive-Anwendungen enthalten Sicherheitsmechanismen, die zufällige Hardwareausfälle verhindern oder kontrollieren. Entwickler müssen potenzielle Ausfallarten auflisten und den Nachweis erbringen, dass der angestrebte ASIL erreicht wird. Da ein Chip in sehr unterschiedlichen Anwendungen zum Einsatz kommen kann, wird er oftmals als SEooC (Safety Element out of Context) bezeichnet und durch ein Sicherheitshandbuch ergänzt, in dem die Vorgaben für den Einsatz beschrieben sind.

Was ist FMEDA?

Die Sicherheitsarchitektur aktueller Automotive-Chips ist komplex und weist in der Regel eine Vielzahl von Sicherheitsmechanismen auf, wie zum Beispiel einen Software-Selbsttest, Redundanz und Lockstep-Prozessoren sowie Parität oder ECC (Error-Correcting Code) für den Speicherschutz (Bild 2). Die FMEDA (Failure Modes Effects and Diagnostic Analysis) ist eine analytische Methode zur Beurteilung der Sicherheitsarchitektur und der Implementierung. Der Prozess gliedert sich in drei Hauptschritte: 1. Validierung der Sicherheitsarchitektur und Partitionierung der Hardwarefunktionen und Fehler gemäß den Ausfallarten. 2. Feststellung der Diagnoseüberdeckung. Diese misst die Fähigkeit der Sicherheitsmechanismen, Verletzungen der Sicherheitsziele zu verhindern. 3. Berechnung der Hardwaresicherheits-Metriken gemäß ISO 26262, also der Single-Point Fault Metric (SPFM), der Latent Fault Metric (LFM) und der Probabilistic Metric for Random Hardware Failures (PMHF).

Automatisierung des FMEDA-Prozesses

Eck-Daten

Komplexe elektronische Systeme sind die Basis der Innovation im Automobilsektor. Aber schrumpfende Transistorgeometrien, herausfordernde Vorgaben für den Stromverbrauch und immer mehr Komplexität erhöhen das Risiko des Ausfalls der ICs im Feld. FMEDA ist eine analytische Methode zur Beurteilung der Sicherheitsarchitektur und der Implementierung. Hier sollten sich Hersteller und Zulieferer auf das Know-how von erfahrenen EDA-Unternehmen verlassen, die sich in einer guten Ausgangsposition befinden, den FMEDA-Prozess und andere Safety-Compliance-Aufgaben zu automatisieren.

SoC- und IP-Entwickler wenden häufig unzureichende FMEDA-Methoden an. Sie stützen sich dabei auf manuell erstellte Analysen fachkundiger Ingenieure sowie auf eine arbeitsaufwendige Fehlerinjektion und die Simulation von Designmodellen auf der Register-Transfer-Ebene beziehungsweise auf Gate-Level-Netzlisten. Einige große Unternehmen entwickeln auch eigene Tools zur Automatisierung bestimmter Teile der Prozesskette. Diese Methoden sind jedoch fehleranfällig, erfordern übermäßig viel Rechenressourcen und bringen lange Iterationszyklen mit sich. Nicht zuletzt sind interne Tools schwierig zu pflegen und in vermarktbare Produkte zu überführen, denn dies setzt hochwertige Dokumentation, Schulung und Support voraus. Ingenieure benötigen eine strukturierte und systematische Vorgehensweise zur Identifikation von Ausfallarten sowie für eine schnelle Analyse der Sicherheitsarchitektur, um Mängel oder Bereiche mit geringer Diagnoseüberdeckung aufzudecken sowie um FIT-Werte (Failure in Time) und die übrigen Safety-Metriken abzuschätzen.

Manuelle Analysen und Fehlersimulationen nach der Brechstangenmethode mögen in der Anfangszeit der erstmals im Jahr 2011 herausgegebenen Norm ISO 26262 noch akzeptabel gewesen sein. Mit zunehmender Reife und Verbreitung der Methoden entsteht jedoch ein Bedarf an qualitativ hochwertigen Tools und automatisierten Lösungen, die einfach anzuwenden, gründlich und skalierbar sind. EDA-Unternehmen (Electronic Design Automation) verfügen über große Erfahrung in der automatisierten Verarbeitung von Chipdesign-Modellen für die funktionale Verifikation, die Implementierung und andere Arbeitsgänge der Hardwareentwicklung und befinden sich in einer guten Ausgangsposition, um auch den FMEDA-Prozess und andere Safety-Compliance-Aufgaben zu automatisieren.

Tatsächlich haben einige EDA-Unternehmen unlängst mit der Kommerzialisierung von FMEDA-Automatisierungslösungen begonnen, die sich entweder direkt einsetzen oder anpassen lassen, um spezifischen Anforderungen gerecht zu werden und bestehende Abläufe zu verbessern. Unter der Haube stützen sie sich auf Know-how, das bei der Unterstützung mehrerer Automotive-Anwender mit einer Vielzahl von Projekten gesammelt wurde. Dieses ist insofern besonders wertvoll, da es Zugang zu einer Vielzahl von Projekten ermöglicht. Im Laufe der Jahre haben EDA-Firmen ein Ökosystem bestehend aus vielerlei Designanalyse-Werkzeugen aufgebaut, darunter Fehlerinjektion, formale Methoden und strukturelle Analysen.

Hochgradig zuverlässige Automotive-Chips

FMEDA und die Konformität zur ISO 26262 sind entscheidende Voraussetzungen für die Herstellung hochgradig zuverlässiger Automotive-ICs, die nicht nur korrekt funktionieren und abgesichert, sondern auch hinsichtlich zufälliger Hardwareausfälle ausfallsicher sind. Automatisierte Lösungen, die durch eigens für diesen Zweck entwickelte EDA-Tools ermöglicht werden, können den FMEDA-Prozess gründlicher und gleichzeitig kostengünstiger gestalten. Neue Anbieter von Automotive-Hardware haben die Möglichkeit, kommerzielle FMEDA-Lösungen direkt und unverändert einzusetzen, während etablierte Akteure die Technologie individuell anpassen und in bestehende Abläufe integrieren können. Onespin Solutions kann dabei helfen, FMEDA-Prozesse zu automatisieren und teure Fehlersimulationen zu reduzieren.