Industrial Software Sicher eingebettet

Bild: Qwasyx
04.02.2014

Immer mehr Embedded-Systeme müssen Anforderungen für funktionale Sicherheit erfüllen. Nun wurde eine Mikrocontroller-Familie vom Tüv Rheinland nach der IEC-61508-Norm für SIL2 und SIL3 zertifiziert. So ist eine nahtlose Systemintegration möglich.

Wer als Hersteller seine Produkte in sicherheitskritischen Umgebungen betreiben möchte, sollte Normen wie ISO 13849-1 oder IEC 62061 befolgen, die beide unter der EU-Maschinenrichtlinie 2006/42/EC harmonisiert wurden. Durch die Einhaltung dieser Normen können Hersteller das richtige Maß an Betriebssicherheit auf Systemebene gewährleisten.

Die IEC 61508 war zwar ursprünglich für den Einsatz auf Systemebene gedacht, der Standard wird aber mittlerweile auch auf Produkt- und Komponentenebene angewendet. Komponenten mit einer Sicherheitszertifizierung unterstützen den Systementwickler mit Informationen darüber, wie die Komponenten integriert werden. Sie bieten zudem Nachweise für das spezifizierte Sicherheitsniveau. Alle sicherheitsrelevanten Informationen und Prozeduren sind im zugehörigen Sicherheitshandbuch für Komponenten zusammengefasst.

Aufgrund seiner hohen Komplexität klassifiziert der Standard einen Mikrocontroller als Komponente vom Typ B, bei dem das Verhalten unter Fehlerzuständen nicht vollständig ermittelt werden kann. Diese Klassifizierung ist zur Bestimmung des beabsichtigten Sicherheitsniveaus für das System zu berücksichtigen.

Anwendungsanforderungen

Fast die gesamte Sicherheits-Hardware ist heute mit Mikrocontrollern oder eigenständigen Halbleiterkomponenten ausgestattet, die ähnliche Sicherheitsnormen erfüllen sollten, damit Hersteller die erforderliche Sicherheits-Hardware integrieren können. Typische Beispiele dafür sind Lichtvorhänge, Laser-Scanner, modular konfigurierbare Relais oder Motion Controller mit Safety-Funktionen.

Diese industriellen Anwendungen stellen bestimmte Anforderungen, die einen wichtigen Bestandteil für die Sicherheitsbewertung bilden. Allen diesen Anwendungen gemeinsam ist die Notwendigkeit eines Hochlast- oder Dauerbetriebs. Die Diagnosetests müssen die Anforderungen für einen gängigen 24/7-Dauerbetrieb in einer industriellen Automatisierungsumgebung erfüllen. Diese Diagnosetests werden in jedem Prozesssicherheits-Zeitintervall wiederholt; was meist im Bereich von einigen Millisekunden liegt.

Sichere Bewegungssteuerung

Ein Beispiel dafür ist die sichere Bewegungssteuerung. In diesem Bereich berücksichtigen Maschinenhersteller Anforderungen, die dem IEC-61800-5-2 Standard entsprechen. Schon heute enthalten die unterschiedlichsten Produkte für Antriebstechnik Stoppfunktionen wie STO oder SS1. Um das höchste Betriebssicherheitslevel SIL3 zu erreichen, nutzen die meisten Systeme Redundanz als Möglichkeit, um Diagnosefunktionen zu implementieren. In einem System mit zwei Kanälen (HFT=1, 1oo2D) ermöglicht ein gegenseitiges Monitoring die Überwachung der korrekten Ablaufsteuerung und schützt das System so vor kurzzeitigen Störungen. Andere Maßnahmen nutzen die Wiederholung von Berechnungsaufgaben oder die Implementierung redundanter Anwendungs-Software.

Lösung für die 
funktionale Sicherheit

Durch die Nutzung von bereits nach IEC 61508 zertifizierten Bauteilen können Hersteller ihre Systeme unter Einhaltung der Sicherheitsnormen konzipieren. Renesas bietet zu diesem Zweck ein Qualifizierungspaket für seine Mikrocontroller (MCUs) der 32Bit-Familie RX631/63N. Die MCU-Sicherheitsanalyse umfasst eine komplette Analyse der Komponente und wird auf den enthaltenen Funktionsblöcken mit einem Fehlermodell nach IEC 61508 ausgeführt. Dieses Fehlermodell berücksichtigt auch Mehrfachausfälle mit gemeinsamer Fehlerursache. Quantitative Untersuchungskonzepte, wie FMEDA (Failure Modes Effects and Diagnostic Analysis), unterstützen dabei, die Effektivität der MCU-Sicherheitsarchitektur zu ermitteln. Mit FMEDA lassen sich die Ausfallraten für jeden MCU-Block unter Berücksichtigung der Auswirkungen von dauerhaften und kurzzeitigen Fehlern berechnen. Die Analyse berücksichtigt auch die Wahrscheinlichkeit, dass solche Fehler einen gefährlichen oder einen ungefährlichen Ausfall verursachen können.

Diagnose-Software

Durch die Implementierung zusätzlicher Sicherheitsmechanismen in Form von Diagnose-Software lassen sich Lücken zwischen Hardware-Sicherheitsmaßnahmen und definierten Sicherheitsanforderungen schließen. Die Software wird entsprechend den in IEC 61508-3 definierten Anforderungen zur Einhaltung des SIL3 Sicherheitsniveaus entwickelt. Um die Fehlerabdeckung der Diagnose-Software in Bezug auf dauerhafte Fehler zu analysieren, wird eine dynamische Fehlerinjektion am RX-CPU-Kern genutzt. Dabei kommt die tatsächliche Netzliste des Mikrocontrollers in der Validierung zum Einsatz. Bei der Fehlerinjektion werden absichtlich Fehler in die Netzliste eingefügt und untersucht damit die Auswirkungen eines Kurzschlusses zu VCC oder GND, einer Unterbrechung oder eines Kurzschlusses zu einem anderen Schaltungsnetz auf das betreffende Netz. Mit dieser Analyse lässt sich die Effektivität der Diagnose-Software bei der Erkennung von Fehlern ermitteln, wodurch diese Testroutinen eine qualitativ hochwertige Diagnosemöglichkeit für den CPU-Kern darstellen.

Alle in Bezug auf funktionale Sicherheit relevanten Informationen und Prozeduren sind im Sicherheitshandbuch zusammengefasst. Dieses beschreibt auch den Einsatz der eigentlichen Diagnose-Software sowie die für den Kunden nutzbaren Ergebnisse der Sicherheitsanalyse. Das Sicherheitshandbuch für die MCU dient dem Systementwickler als Grundlage zur Erstellung des endgültigen Systemsicherheitshandbuchs für den Endanwender.

Zertifizierung und Werkzeugunterstützung

Für die Sicherheitsuntersuchung nutzt Renesas seinen eigenen Qualifizierungs-Workflow. Durch das Zertifikat vom Tüv Rheinland kann der Systementwickler die Mikrocontroller-Komponente unter definierten, bewährten Einsatzbedingungen für seine Sicherheitsanwendung nutzen. Der IEC-61508-Standard umfasst außerdem normbezogene Anforderungen für Werkzeuge. Werkzeuge der Klassen T2 und T3 erfordern eine Spezifikation oder ein Produkthandbuch, das das Verhalten und den Entwicklungszyklus definiert. Zur Einhaltung dieser Anforderungen setzte Renesas bei der Entwicklung der Diagnose-Software ein bereits zertifiziertes Werkzeug ein. IAR Embedded Workbench for RX umfasst eine Palette von Software-Entwicklungs-Tools für die Erstellung von Embedded-Anwendungen. Durch die von IAR Systems implementierten Qualitätssicherungsmaßnahmen und des mitgelieferten Sicherheitshandbuchs können Anwendungsentwickler IAR Embedded Workbench for RX bei der Entwicklung sicherheitsrelevanter Software für alle Sicherheitsstufen nach IEC 61508 einsetzen.

Verwandte Artikel