Radar für modernste Fahrerassistenzsysteme Im vorliegenden, zweiten Teil dieses Beitrags geht der Autor auf die Funktionale Sicherheit der MCU ein, die für die Steuerung des HF-Radarsenders und die Verarbeitung der Daten zum Einsatz kommt. F ür die Steuerung des HF-Radarsenders und die Verarbeitung der vom Empfänger kommenden Daten kommt ein Mikrocontroller zum Einsatz. Angesichts der Sicherheitsbedürfnisse einer solchen Applikation wird eine speziell für Funktionale Sicherheit optimierte MCU verwendet. Für Systemingenieure besteht die Herausforderung darin, elektronische Steuergeräte so zu konzipieren, dass gefährliche Ausfallszenarien gar nicht erst auftreten oder, falls dies doch geschieht, ausreichend kontrolliert werden können. Solche Fehler können entstehen durch: WW Zufällige Hardwarefehler, WW Systematische Hardwarefehler, WW Systematische Softwarefehler. Die Norm für Funktionale Sicherheit IEC 61508 und seine Ausprägung für die Automobiltechnologie, die ISO 26262, kommen hierbei zur Anwendung, um sicherzustellen, dass sich Elektroniksysteme in Industrie und Automobiltechnik ausreichend sicher verhalten. Sichere MCUs Es gibt verschiedene Möglichkeiten, sichere MCUs zu realisieren. Das herkömmliche Verfahren basiert auf zwei separate MCUs, um die Software auf physikalisch unterschiedlichen Controllern zu duplizieren. Die gleiche Software läuft 14 HANSER automotive 3-4 / 2015 © Carl Hanser Verlag GmbH & Co.KG, München, www.hanser-automotive.de; Nicht zur Verfügung in Intranet- u.Internet-Angeboten oder elektron. Verteilern Teil 2 Bild 4: Blockschaltbild der Dual-Core Lockstep MCU. © Carl Hanser Verlag, München Bilder: Freescale Semiconductor ELEKTRONIK ELEKTRONIK ODX OTX D-Server Flash Programming OBD Entwicklung D-PDU API Diagnose-Test Produktion VCI » www.hanser-automotive.de CAN Simulation Service Dual-Core Lockstep-MCU Dual-Core Lockstep-MCUs befreien nicht von der Notwendigkeit, Sicherheitsmaßnahmen auf Software- und Systemebene zu implementieren, beispielsweise eine ausreichend unabhängige Überwachung der im Softwarepfad berechneten Ausgangswerte. Neben anderen Aspekten wie einer höheren Integration bieten diese MCUs jedoch auch eine „Separation of Concerns“ für die Validierung. In Lösungen, die auf mehreren Single-Core MCUs basieren, hängt die Fähigkeit, zufällige Hardwarefehler zu erkennen und zu kontrollieren, weitgehend von der Software ab. Eine Dual-Core Lockstep-MCU (Bild 4) kann wichtige sicherheitsrelevante Eigenschaften der Infrastruktur des © Carl Hanser Verlag GmbH & Co.KG, München, www.hanser-automotive.de; Nicht zur Verfügung in Intranet- u.Internet-Angeboten oder elektron. Verteilern auf beiden MCUs identisch ab, und die Ergebnisse werden dann miteinander verglichen. Sind die Ergebnisse gleich, so ist alles gut. Wenn nicht, dann weiß das System, dass ein Fehler vorliegt und kann diesen entweder lösen oder sich selbst in einen sicheren Zustand fahren. Eine weitere Option besteht darin, dass nur eine MCU sichere Software ausführt und die andere MCU, auf der die Applikationssoftware läuft, überwacht. Mit separaten MCUs muss der Systementwickler das Sicherheitssystem von Grund auf dafür konzipieren und implementieren. Im Gegensatz dazu gibt es auch vorzertifizierte MCU- Lösungen. Diese Lösungen konzentrieren sich darauf, Einzelfehler, latente Fehler und abhängige Fehler zu erkennen und ihnen entgegenzuwirken. Erreicht wird dies durch integrierte Sicherheitsfunktionen wie Selbsttest, Überwachung und Hardware-basierte Redundanzen in den MCUs, aber auch Leistungsmanagement-ICs und Sensoren. Was die auf dem Chip integrierte Redundanz der MCU angeht, so wird diese für die kritischen Komponenten angeboten, zum Beispiel: WW Mehrere CPU-Rechenkerne mit verzögertem Lockstep, WW I/O-Prozessorkern, WW DMA-Controller (Direct Memory Access), WW Interrupt Controller. WW Bussystem mit zwei Crossbars, WW Memory Protection Unit, WW Fault Collection Unit, WW Controller für Flashspeicher und RAM, WW Peripheriebusbrücke, WW System- und Watchdog Timer, WW übergreifender Error Correction Code. Der Hauptvorteil dieser „Replikationssphäre“ liegt darin, dass die MCU Einzelfehler erkennen kann, die tendenziell öfter auftreten als Soft-Errors, und das nicht nur in den Rechenkernen, sondern auch in wichtigen Submodulen. Darüber hinaus stehen für die Rechenkerne, Speicher, Cross bars, Kommunikationsblöcke und Peripheriefunktionen BIST-Mechanismen (Built-In Self Test) zur Verfügung. Auch wurde der Baustein für die Verhinderung gemeinsam verursachter Ausfälle, die auf Probleme mit dem Takt oder der Stromversorgung zurückzuführen sind, optimiert. Die MCU verfügt über Hardwareblöcke für die Erkennung von Taktabweichungen sowie eine in Hardware realisierte Überwachung der wichtigsten Spannungen, z. B. am Rechenkern, am Flashspeicher, usw. Softing Automotive Electronics GmbH T +49 89 456 56 420 [email protected] w w w. s of t i n g . co m ELEKTRONIK Bild 5: Ausfallsicheres System mit System Basis Chips. 16 HANSER automotive 3-4 / 2015 Bild 6: Nach IEC anwend barer A bschnitt für den Chipsatz. Satellitenbaustein für Funktionale Sicherheit © Carl Hanser Verlag GmbH & Co.KG, München, www.hanser-automotive.de; Nicht zur Verfügung in Intranet- u.Internet-Angeboten oder elektron. Verteilern Prozessors auf Hardwareebene unabhängig von der Software verifizieren und validieren, da die Rechnerstruktur in integrierter Form vorliegt und einen integrierten Sicherheitsmechanismus repräsentiert. Dies stellt einen signifikanten Vorteil für das Co-Design von Hard- und Software dar. Darüber hinaus erleichtert die „Separation of Concerns“ eine raschere Lokalisierung von Problemen. Wenn der Sicher heitsmechanismus für die Überwachung des Dual-Core Lockstep auslöst, dann kann die Ursache mit ziemlicher Wahrscheinlichkeit auf zufällige Hardwarefehler zurück geführt werden, während für den Fall, dass die Softwareüberwachung triggert, mit hoher Wahrscheinlichkeit ein Fehler auf Systemebene oder ein systematischer Fehler in der Software vorliegt. Das Konzept der Dual-Core Lockstep MCU bietet einen potenziellen Verfügbarkeitsvorteil. In modernen MCUs beläuft sich die Fläche für den Rechenkern auf weit unter fünf Prozent der gesamten MCU, während der MCU insgesamt ein Anteil von zirka ein Prozent an der sogenannten PMHF (Probabilistic Metric for random Hardware Failures) zusteht. Der Beitrag des Rechenkerns liegt somit in erster Näherung in der Region von 0,05 Prozent. Aber Gewissheit über die korrekte Funktion der Rechenkerne ist der Schlüssel für jedes in Software implementiertes Forward Recovery-Verfahren, wenn es darum geht, die restlichen 99,95 Prozent an Beiträgen zur PMHF zu adressieren, um die Verfügbarkeit des Systems aufrecht zu erhalten. Darüber hinaus steht mit der Dual-Core Lockstep-MCU eine geeignete Infrastruktur zur Verfügung, um mehrere ausreichend voneinander unabhängige Kanäle zu implementieren. Um eine ganzheitliche Systemlösung für Applikationen mit Funktionaler Sicherheit zu unterstützen, wurde von Freescale eine Serie von passenden Leistungs-SBCs (System Basis Chips) entwickelt, die gleichzeitig die Rolle der Sicherheitsüberwachung für die MCU und die Stromversorgung übernehmen (Bild 5). Diese SBC-Bausteine versorgen die MCUs und andere Lasten im System und optimieren über diverse Stromsparmodi den Energieverbrauch. Darüber hinaus verfügen sie typischerweise über diverse physikalische Schnittstellen und ein SPI-Interface, über das sie die MCU kontrollieren und diagnostizieren können. Die als SEooC (Safety Element out of Context) konzipierte Kombination aus MCU und analogem System Basis Chip erleichtert die Sicherheitsbeurteilung eines Systems. Mit dieser Architektur kann die Anzahl der Komponenten auf Systemebene reduziert werden, sie adressiert die Anforderungen an die Funktionale Sicherheit und erhöht die Zuverlässigkeit. Für die Absicherung der Interaktion zwischen MCU und SBC wurden vier Sicherheitsmaßnahmen implementiert: WW Unterbrechungsfreie Stromversorgung, WW Ausfallsichere Eingänge zur Überwachung kritischer Signale, WW Ausfallsichere Ausgänge zur Ansteuerung eines sicheren Zustandes im Fehlerfall, WW Ein Watchdog für eine ausgeklügelte Taktüberwachung, In Kombination mit der MCU ist jede Sicherheitsmaßnahme für ein Höchstmaß an Sicherheitsperformanz optimiert. Auf Systemebene können von der MCU vorgeschlagene Sicherheitsprüfmechanismen durch das SBC über ein bistabiles Protokoll der FCCU (Fault Collection Control Unit) überwacht werden. Solche IC-Crosschecks wie der sogenannte „Challenger“ für das Monitoring-Timing liefern externe Messungen des Systems und eröffnen eine Redundanz für eine weitere sichere Fehlererkennung. Im Einklang mit der Sicherheitsarchitektur der System-Basis-Chip-Familie ergibt sich © Carl Hanser Verlag, München ELEKTRONIK Systemkonformität versus Chipsatzkonformität Die Konformität der Funktionalen Sicherheit wird auf Systemebene erreicht, und das liegt in der Verantwortung des Systementwicklers. Die MCU und der SBC-Chipsatz wurden unabhängig von ihrer letztlichen Verwendung konzipiert, diese kann ein ausgeklügeltes Alarmsystem für das Auto, ein intelligentes Fahrerassistenzsystem oder ein mobiler Kran sein. Der Chipsatz wurde daher als SEooC (Safety Element out of Context) entwickelt. Ein SEooC ist ein sicherheitsrelevantes Element, welches nicht im Kontext zu einer bestimmten Fahrzeugfunktion oder Endapplikation entwickelt wurde. So lassen sich dann die in der ISO 26262 vorgegebenen Richtlinien für die Entwicklung von SEooC-Komponenten anwenden (Bild 6). LEONI Adascar ® Freescale hat seine Initiativen für die Funktionalen Sicherheitsanforderungen des Marktes in dem SafeAssure- Programm (Bild 7) gebündelt. Dieses beinhaltet Sicherheitssupport, Sicherheitshardware, Sicherheitssoftware und einen Sicherheitsprozess, um sicherzustellen, dass prozedurale Aspekte während der Entwicklungsphase der unterschiedlichen Produkte adäquat berücksichtigt werden. Zum typischen Lieferumfang gehören: WW Sicherheitsanalyse von Architekturen: FMEDA, CCA oder FTA, WW Anwenderhandbuch: Sicherheitshandbuch, Applikationsnoten zum Thema Sicherheit, WW Nachweise für den Entwicklungsprozess: PPAP, Sicherheitsplan, Zertifikate. Das Ziel besteht darin, die für die Entwicklung von Sicherheitssystemen nach den ISO-26262- und IEC-61508-Standards benötigte Zeit und Komplexität zu reduzieren und mit Lösungen, die den Anforderungen der Funktionalen Sicherheitsstandards für Automobiltechnik und Industrie Rechnung tragen, das Erreichen der Systemkonformität zu erleichtern. W (oe) »» www.freescale.com/support Yves Legrand ist Global Industrial Marketing Manager der Analog und Sensor Gruppe bei Freescale Semiconductor. www.leoni-automotive-cables.com Produktgrafik nur für Werbezwecke LEONI Leitungen – mehr als nur Standard Mehradrige Fahrzeugleitungen für die Anwendungsbereiche Safety, Control, Comfort, Power, Truck, Sensor. The Quality Connection HanserAutoElectronics_Adascar_175x122_de_2015.indd 1 www.hanser-automotive.de © Carl Hanser Verlag GmbH & Co.KG, München, www.hanser-automotive.de; Nicht zur Verfügung in Intranet- u.Internet-Angeboten oder elektron. Verteilern dank dedizierter ausfallsicherer Ausgänge ein redundanter Pfad für die Sicherheitszustandsaktivierung. Diese Ausgänge ergänzen die ausfallsicheren Ausgänge der MCU, indem sie die Applikation in einen deterministischen Zustand versetzen, wenn ein Fehlerzustand auftritt. Mit diesen Hardwaremaßnahmen können Softwareingenieure die Softwarearchitektur vereinfachen und eine Softwareentwicklungsstrategie implementieren, in deren Mittelpunkt die Sicherheit durch ein Single-MCU-Konzept steht. 09.04.15 14:30 HANSER automotive 3-4 / 2015 17
© Copyright 2025 ExpyDoc