Funktionssicherheit belebt die Sicherheit in dauerbetriebenen industriellen Designs

Sicherheit und Zuverlässigkeit sind in Industrieumgebungen, deren Anlagen sich üblicherweise im Dauerbetrieb befinden, von höchster Bedeutung. Das bedeutet, dass einsatzkritische industrielle Designs immer angemessen geschützt sein müssen, wenn das System herunter- oder hochgefahren wird. Dabei spielt es keine Rolle, ob die Stromversorgung eingeschaltet ist oder nicht.

Während die Mechanismen für ausfallsichere Embedded-Systemdesigns umfassend dokumentiert sind, ist die Einhaltung der Funktionssicherheit in diesem Bereich etwas völlig Neues. Für industrielle Designs, bei denen die Zuverlässigkeit eine Rolle spielt, bietet die Technologie für Funktionssicherheit eine neue Sicherheitsebene, die komplett standardisiert ist.

Die industriellen Designs, auf die die Technologie für Funktionssicherheit Auswirkungen hat, reichen von autonomen Robotern über lebenswichtige medizinische Geräte bis hin zu intelligenten Transportsystemen. Die mit Funktionssicherheit ausgestatteten Komponenten sind CPUs, SRAM-Bausteine und Flash-Speicher-Chips. Die Verfügbarkeit von Komponenten mit einem Sicherheitszertifikat ermöglicht Entwicklern, ihre Ansprüche bezüglich einem bestimmten Sicherheitsintegritätslevel (SIL) zu belegen.

MCUs mit Funktionssicherheit

Die Gewährleistung der Funktionssicherheit ist eine komplexe und zeitaufwendige Aufgabe, mit der sich Entwickler im Zusammenhang mit industriellen Designs häufig auseinandersetzen müssen. Ein gutes Beispiel hierfür sind die Systeme, die für Interaktionen zwischen Robotern und Menschen zuständig sind. Ein System, das gemäß den neuesten Spezifikationen der Funktionssicherheit konzipiert wird, muss die Interpretation anspruchsvoller Standards sowie die Auswahl von Drittanbietern für die Softwareunterstützung umfassen.

In einem solchen Beispiel können duale MCU-Konfigurationen eine einfache Sicherheitsverifizierung ermöglichen, während die Diagnosesoftware verwendet wird. Mit diesem Szenario müssten die Entwickler von Embedded-Systemen keine MCU-spezifische Software für die Funktionssicherheit mehr entwickeln.

Die Mikrocontroller der RX-Familie von Renesas Electronics sind hierfür ein typisches Beispiel. Die Mikrocontroller sind mit dem Standard IEC 60730 für Funktionssicherheit kompatibel und vereinfachen den ausfallsicheren Betrieb in den industriellen Geräten, in denen sie zum Einsatz kommen. Überdies hat Renesas seine MCUs der RX-Familie kürzlich um die gemäß IEC 61508 SIL3-zertifizierte Software für Funktionssicherheit erweitert. Diese neue Sicherheitsfunktion wird für alle MCUs von Renesas verwendet werden, die auf dem RXv2-Kern des Unternehmens basieren.

Die Funktionssicherheitslösung wird mit einem SIL3-Systemsoftwarekit geliefert, das über eine gegenseitige Diagnosefunktion verfügt, die eine duale MCU-Struktur voraussetzt und die Softwareisolation zwischen sicheren und nicht sicheren Funktionen ermöglicht (Abbildung 1). Das Design mit dualer MCU-Struktur ist um die Mikrocontroller RX71M und RX651 herum aufgebaut.

Abbildung 1: Renesas behauptet, durch die Ausführung einer gegenseitigen Diagnose in einer dualen MCU-Architektur die weltweit erste SIL3-Zertifizierung realisiert zu haben. (Bildquelle: Renesas Electronics)

Ein weiterer Mikrocontroller, der die für industrielle Anwendungen erforderliche Funktionssicherheit bietet, ist der Hercules RM57Lx von Texas Instruments. Die Komponente ermöglicht Entwicklern die problemlose und schnelle Einhaltung des Standards IEC 61508 und bietet diverse Sicherheitsfunktionen für verschiedene industrielle Anwendungen, wie beispielsweise ein Anti-Skid-System für die Luftfahrt, programmierbare Logik-Controller (PLCs), Motoren und Antriebe sowie Signaltechnik für den Schienenverkehr.

Aufbauend auf den Sicherheitsfunktionen der MCU von Hercules bieten die RM57Lx-Mikrocontroller eine Einzelbit- sowie eine Doppelbit-Fehlerkorrektur, die Fehlerkorrekturcode für Cache-Speicher für Anweisungen und Daten sowie für ausgewählte periphere Pufferspeicher verwendet.

Flash mit Funktionssicherheit

Funktionssicherheit ist häufig mit Designs für die Automobiltechnik verknüpft. Die obigen MCU-Beispiele zeigen jedoch, dass sie auch für industrielle Designs überaus relevant ist, insbesondere für solche im Dauerbetrieb. Vor diesem Hintergrund muss auch der Flash-Speicher berücksichtigt werden, da es sich dabei um einen weiteren entscheidenden Baustein in einsatzkritischen industriellen Systemen handelt. Er muss ebenfalls den geltenden Standards für Funktionssicherheit entsprechen. In industriellen Designs steht der Flash-Speicher dadurch an vorderster Front bei der Bereitstellung von sicherem Speicher und zuverlässigem Zugriff auf komplexe Systemcodes und -algorithmen.

Es gibt Flash-Speicherarchitekturen mit mehreren Partitionen, die unabhängig voneinander für hohe Lebensdauer und lange Retention optimiert sind. Die hohe Lebensdauer und die lange Datenhaltezeit sind für den Schutz industrieller Designs vor Systemausfällen von entscheidender Bedeutung.

Der Semper™ NOR-Flash von Cypress Semiconductor beispielsweise basiert auf der EnduraFlex-Architektur des Unternehmens (Abbildung 2). Er ermöglicht eine Lebensdauer von über einer Million Programmier-/Löschzyklen und eine Datenhaltezeit von mindestens 25 Jahren bei extremen Temperaturen im Bereich von –40 °C bis +125 °C. Für das häufige Schreiben von Daten bietet die EnduraFlex-Architektur eine Partition, die für bis zu 1,28 Millionen Programmier-/Löschzyklen für Partitionen mit einer Dichte von 512 Mbit und für bis zu 2,56 Millionen Zyklen für Partitionen mit 1 Gbit konfiguriert werden kann.

Abbildung 2: Das Blockdiagramm der Semper NOR-Flash-Architektur zeigt die eingebetteten Blöcke für Funktionssicherheit und Zuverlässigkeit. (Bildquelle: Cypress Semiconductor)

Der Semper NOR-Flash bietet SafeBoot und Fehlerprüfungsfunktionen für den sicheren und zuverlässigen industriellen Betrieb. Er unterstützt außerdem Einzelbit- und Doppelbit-Fehlerkorrektur, indem er während der Programmierung des Speicher-Arrays einen eingebetteten Fehlerkorrekturcode generiert. Beachten Sie, dass es sich bei NXP Semiconductors um einen MCU-Anbieter handelt, der für seine MCU-Lösungen für industrielle Designs den Semper NOR-Flash nutzt.

Toolsets für Funktionssicherheit

Damit sind wir beim letzten Teil des Puzzles angelangt: Toolsets für sicherheitskritische industrielle Systeme und Geräte. Die Toolsets für industrielle Embedded-Systeme holen inzwischen bei der Funktionssicherheit langsam auf.

Während die Anzahl der Embedded-Systeme mit Anforderungen hinsichtlich Funktionssicherheit stetig zunimmt, steigt der Bedarf an Tools zur Durchführung von Sicherheitsanalysen, die auf den für Funktionssicherheit zertifizierten Komponenten ausgeführt werden können und beispielsweise häufig auftretende Fehler analysieren.

Es gibt quantitative Analysetechniken wie die FMEDA (Failure Modes, Effects and Diagnostic Analysis), mit deren Hilfe die Effizienz einer Komponente, beispielsweise der Sicherheitsintegration einer MCU, ermittelt werden kann. Des Weiteren gibt es Diagnosesoftware-Tools, die die Lücke zwischen Hardwaresicherheitsmaßnahmen und den definierten Sicherheitsanforderungen schließen.

Renesas etwa verwendete zur Entwicklung der Diagnosesoftware für eingebettete Anwendungen eine zertifizierte Tool-Suite von IAR Systems. Wie in Abbildung 3 gezeigt, umfasst die IAR Embedded Workbench für RX-MCUs einen leistungsstarken Compiler und Debugger, die in eine benutzerfreundliche integrierte Entwicklungsumgebung (IDE) integriert sind.

Abbildung 3: Diese Abbildung zeigt, wie die IAR Embedded Workbench die Entwicklung von sicherheitstechnischer Software für RX-Mikrocontroller von Renesas erleichtert. (Bildquelle: IAR Systems Software)

Die zur Validierung sicherheitskritischer Systeme verwendeten Toolsets können sich voll und ganz auf die relevanten Sicherheitsaspekte konzentrieren, um die Zuverlässigkeit industrieller Designs zu verbessern. Sie verfügen üblicherweise über umfassende grafische Inhalte sowie Anzeigen und Text für Warnungen.

Als Fazit lässt sich sagen, dass beim Design sicherer Systeme sowohl die Hardware als auch die Software eine Rolle spielt. Glücklicherweise stehen beide Komponenten den Entwicklern nunmehr zur Verfügung.