RSS
Twitter
augenBLICK
PCIM Europe 2012: Nachhaltigkeit und Energieeffizienz im Fokus.
Elektromobilität war eines der Hauptthemen auf der PCIM Europe 2012.
Automotive Congress Video
Das Video zum 4. Elektronik automotive congress 2012.
Bordnetz-Kongress
Call for Papers & Workshops!
Auf dem Bordnetz Kongress am 25. September 2012 in Landshut dreht sich alles um DAS zentrale Element jedes Fahrzeugs.
Senden Sie uns jetzt Ihre Beiträge zu bordnetzrelevanten Themen!
Elektromobilität
Akuelles rund um die elektrische Mobilität
Automobilelektronik-Trends Special
Sicherheitssysteme, Vernetzung, Elektromobilität bzw. Energieeffizienz -sowie der Einfluss Chinas stehen in diesem Jahr auf der Agenda der -Automobil-Branche. Vertreter der automobilen Wertschöpfungskette -geben einen Ausblick auf das laufende Jahr.
MOST-Special
Mehr als 100 Fahrzeugmodelle nutzen bereits die MOST-Technologie. Wo sie genutzt wird und wie es in der Zukunft weitergeht, können Sie in unserem englisch-sprachigen MOST-Special herausfinden.
Die MOST-Ecke
Fehlertoleranter Cortex-M3
ARM erweitert MCU-Core für sicherheitskritische Anwendungen
Automotive-Mikrocontroller werden mit immer mehr Speicher und Peripheriefunktionen bestückt. Diese wachsende Komplexität der Bausteine führt zwangsläufig zu einem höheren Fehleraufkommen. Der neue Cortex-M3 Release 2 von ARM und eine Lösung der italienischen Firma Yogitech sind vom TÜV Süd für SIL3 zertifiziert worden.
Anzeige
Abgesehen von einigen anderen interessanten internen Verbesserungen des Cortex-M3-Release 2 ist die Kompatibilität zu einem Fehler-Überwachungssystem der italienischen Firma Yogitech aus Pisa (wo der fehlertoleranteste Turm der Welt steht) sicher am interessantesten. Über einen speziellen Überwachungs-Port wird der Prozessor an Yogitechs so genannten faultRobust-CPU-Supervisor (fRCPU) angebunden (Bild 1). Über diesen Port werden insgesamt 130 Signale überwacht, um Fehler detektieren zu können.
Durch den Port werden laut ARM weder die Rechenleistung noch die Chipgröße negativ beeinflusst. Die im Jahr 2000 gegründete Firma Yogitech stellte das erste Supervisor- Modul im Jahr 2006 für den ARM968- Prozessor vor, das aber niemals verkauft wurde. Der Cortex-M3, ein wesentlich kleinerer Prozessor, der speziell für MCUs entworfen wurde, passt viel besser zu dieser Technologie als der ARM9. Im ersten Quartal führte Yogitech die ersten Supervisor-Module für On-Chip-Speicher-Subsysteme (frMEM) und Busse (fRBUS) ein.
Das faultRobust-Konzept
FaultRobust ist ein plattformbasiertes Konzept aus einer IEC-61508-konformen Design- und Validierungs-Methodik auf der Basis von FMEA (Failure Mode and Effects Analysis) und Fehlerinjektion. Weitere Bestandteile sind eine flexible, konfigurierbare Bibliothek aus Hardware und Software-IP ergänzend zu den SoC-Subsystemen und eine Tool-Suite auf der Grundlage existierender Compiler für die Hardware/ Software-Integration und den Konfigurationsablauf. Jedes faultRobust- IP (fRIP) kann eigenständig genutzt oder mit anderen fRIPs zu einer Komplettlösung kombiniert werden. Das Rückgrat des Konzepts ist die faultRobust-Methodik (Bild 2).
Mit Scripts auf Basis kommerziell verfügbarer EDA-Tools extrahiert das fRFMEA-Tool Informationen aus der Safety Requirements Specification (SRS) und dem Design-Datenbestand und gibt sie in ein sehr detailliertes Failure-Mode- and Effects-Analysis- Worksheet ein. Fehlermodelle und Ausfallmodi werden dann nach IECRichtlinien begutachtet. SFF (Safe Failure Fraction) und Diagnose-Abdeckung werden anschließend mit statis tischen Formeln im FMEA-Worksheet automatisch berechnet. IEC 61508 legt die intensive Verwendung der Fehlermodellierung und -injektion im Design-, Verifikations- und Validierungsablauf nahe. Sie bezieht sich auf die funktionale Sicherheit elektrischer, elektronischer oder programmierbarer, sicherheitsrelevanter Systeme.
In der Tabelle ist zusammengefasst, welcher „Safety Integrity Level“ (SIL) einem System je nach seiner SFF (Safe Failure Fraction) und seiner Hardware- Fehlertoleranz (HFT) zugeschrieben werden kann. Unter der SFF eines Systems versteht man das Verhältnis der Rate sicherer Fehler (ein Fehler, der zu keiner sicherheitskritischen Fehlfunktion führen kann) plus der Rate gefährlicher detektierter Fehler zur gesamten Ausfallrate des Systems.
Die HFT gibt die Zahl der von einem System verkrafteten Fehler an. Höhere HFT bedeutet höhere Verfügbarkeit. Bei HFT = 0 ist es akzeptabel, dass ein fehlerbehaftetes System in einen „sicheren Modus“ eintritt. Soll es fehlertolerant sein und immer verfügbar bleiben, sind höhere HFT-Werte erforderlich.
SIL kann die Werte 1 bis 4 annehmen, wobei SIL2 als Mindestwert für ABS-Anlagen gefordert wird. SIL3 wird für aktive Sicherheitssysteme wie X-by-Wire, aktive Bremssysteme oder ESP verlangt. SIL4 wird für Single- Chip-Lösungen als nicht erreichbar angesehen und gilt für Automotive-Systeme als nicht erforderlich.
Die faultRobust-FaultInjector- Tool-Suite (fRFI) ist ein Fehlerinjektor, der auf der Transistor- und Gatter- Ebene ebenso arbeiten kann wie auf dem Block-Level als der höchsten Abstraktionsebene. Mit Hilfe entsprechender Tools kann die Vollständigkeit jeder Fehlerinjektions-Maßnahme gemessen werden.
Um eine Hardware-Fehlertolerenz (HFT) von Null zu erreichen, sieht die Norm IEC 61508 vor, dass alle Aktivitäten der CPU und der damit verbundenen Subsysteme in Echtzeit von einem Diagnosekanal überwacht werden, der dafür von den zu überwachenden Komponenten unabhängige Hardware-Blöcke nutzt. Damit sollen Fehler, die durch Kurzschlüsse, Übersprechen, Spannungsschwankungen oder Temperaturschwankungen entstehen, von der Diagnose-Hardware ferngehalten werden. In Bild 3 sind die Diagnose-Empfehlungen für ICs der Norm IEC 61508 dargestellt.
1. Teil: ARM erweitert MCU-Core für sicherheitskritische Anwendungen
2. Teil: Alternative zur CPU-Kopie
|
zurück
|
1 | 2 | weiter |
|
Frank Riemenschneider, Elektronik |
Weiterführende Links:
