Industrial Software Sicherheit im Selbsttest

Bild: RichVintage
08.10.2014

Halbleiter können wie jede andere Komponente ausfallen. Geeignete Diagnose-Software deckt Defekte an Mikrocontrollern rechtzeitig auf. Bei Renesas gibt es die Kombination aus Hard- und Software als Safety Package für Anlagen, die bestimmte Sicherheitszertifizierungen benötigen.

Sicherheitskritische Applikationen erfordern zunehmend komplexe Halbleiterbausteine wie Mikrocontroller. Ausfällen beugen Maschinenbauer durch Hardware-Sicherheitsmaßnahmen oder Redundanz vor, was doppelten Aufwand bedeutet. Eine Alternative stellt die Software-Diagnose dar. So ermöglicht eine Selbsttest-Software für die RX631/63N-Serie von Renesas die fehlerfreie Funktion von CPU, RAM und ROM im Mikrocontroller während des Dauereinsatzes zu gewährleisten. Diese Diagnose-Software erreicht eine Fehlerabdeckung von 90  Prozent – Voraussetzung für den Einsatz in IEC 61508 SIL2- und SIL3-Anwendungen. Die TÜV-Zertifizierung der Safety-Lösung, bestehend aus Safety Manual und der Diagnose-Software, unterstützt Entwickler bei der Integration von Sicherheitssystemen und vereinfacht eine finale Zertifizierung auf Systemebene.

Zu Beginn der Entwicklung gilt es zunächst die Anforderungen an die Software zu definieren. Um eine spätere Produktzertifizierung gemäß ISO 13849-1 oder IEC 62061 zu ­unterstützen, wird die Diagnose-Software nach den SIL3-Anforderungen der IEC 61508 entwickelt. Eine Diagnoseabdeckung von mindestens 90 Prozent für alle Programmteile ist hierbei obligatorisch. Gerade für komplexe Module wie die CPU eines Mikrocontrollers ist ein entsprechender Nachweis zu erbringen, der ohne Kenntnis der tatsächlichen Hardware nahezu unmöglich ist. Weiterhin sind Speichertests für die RAMs sowie Flash-ROMs zu berücksichtigen.

Um Anwendungen in der Industrieautomatisierung zu unterstützen, müssen Entwickler spezielle Anforderungen an die Sicherheitszeit von Prozessen, die typischerweise im Bereich von Millisekunden liegt, berücksichtigen. Für flexible Ausführungszeiten müssen sämtliche Diagnosetests in Testsegmenten implementiert werden. Die einzelnen Segmente können entweder einzeln, hintereinander, zur Startzeit oder während der Laufzeit abgearbeitet werden und ermöglichen somit flexible Ausführzeiten. Für Speichertests ist eine ähnliche Flexibilität erforderlich.

Entwicklung nach V-Modell

Laut des V-Modells auf Basis der IEC 61508 sollte jeder Planungs- und Realisierungsphase eine entsprechende Testphase gegenüberstehen. Bevor der Entwickler mit der eigentlichen Kodierung beginnen kann, sind innerhalb der Planungsphase eine Reihe von Dokumenten wie der Safety-Plan, die Anforderungsspezifikation sowie der Verifikations- und der Validierungsplan für die Software zu erstellen. Es folgen die Software-Architektur- und Designbeschreibung sowie die Erstellung des Quellcodes. Entsprechende Testreports dokumentieren die Ergebnisse der Verifikation und Validierung.

Fehler simulieren

Um eine Diagnoseabdeckung von mindestens 90 Prozent zu erreichen, ist eine sukzessive Verbesserung des CPU-Selbsttest-Programms erforderlich. Ohne Kenntnis der tatsächlichen Hardware erreicht ein vom Anwender erstelltes Programm etwa 70 Prozent Diagnoseabdeckung. Nur durch das gezielte Einstreuen von Fehlern in die tatsächliche Netzliste sowie der Beobachtung, ob das Testprogramm diese erkennt, lässt sich die Diagnoseabdeckung über den Schwellenwert heben. Im Fall des RX631/63N-Mikrocontrollers wurden knapp 200 000 mögliche Fehler injiziert und danach bestimmt, ob der Software-Test diese erkannt hatte. Der Selbsttest wurde solange verbessert, bis die Diagnoseabdeckung von 90 Prozent erzielt werden konnte.

Um permanente und transiente Fehler in Speichermodulen zu entdecken, kommen spezielle Testprogramme zum Einsatz. Für die RX631/63N-Familie wurden zwei Varianten implementiert: der altbewährte Walkpath-Test und der modernere Test Extended March C, der sich durch seine schnelle Bearbeitungszeit auszeichnet. Die Verwendung eines vorzertifizierten Safety Packages hat für einen Systementwickler mehrere Vorteile. Zum einen spart es Entwicklungszeiten. Neben der bereits nach dem IEC61508-Standard entwickelten Diagnose-Software stehen auch die Ergebnisse aus der Sicherheitsanalyse zur Verfügung. Eine Diskussion mit dem Halbleiterhersteller über FIT-Raten entfällt ebenso wie eine mit der Zertifizierungsstelle. Weiterhin sind sämtliche Diagnosemaßnahmen und Anwendungsmöglichkeiten in Sicherheitssystemen in einem entsprechenden Safety Manual des Mikrocontrollers beschrieben. Außerdem reduziert eine vorzertifizierte Komponente erheblich das Risiko der späteren Systemzertifizierung.

Verwandte Artikel