Safety in Hinblick auf autonomes Fahren Schnelle Kommunikation für redundante Systeme

Richtige Mikrocontroller und Redundanz um die elektronischen Systeme zu sichern.
Richtige Mikrocontroller und Redundanz um die elektronischen Systeme zu sichern.

Auf dem Weg zum autonomen Fahren spielen Sicherheit und Zuverlässigkeit eine erhebliche Rolle. Damit sicherheitskritische elektronische Systeme auch bei einem Fehler nicht ausfallen, muss nicht nur Redundanz vorherrschen, sondern auch der richtige Mikrocontroller zum Einsatz kommen.

Der Trend hin zu immer anspruchsvolleren Fahrerassistenzsystemen und höheren Automatisierungsgraden von Fahrzeugen stellt neue Herausforderungen an die Robustheit, Verfügbarkeit und Funktionssicherheit der eingesetzten Systeme. Heutige Automotive-Systeme sind für den Fail-Safe- oder Fail-Silent-Betrieb im Fehlerfall ausgelegt. Hoch- oder vollautomatisiertes Fahren erfordert ein Höchstmaß an Zuverlässigkeit und Verfügbarkeit des Fahrzeugs. D.h. elektronische Systeme müssen ihre Funktionen auch im Fehlerfall aufrechterhalten (Fail-Operational). Das setzt ein gewisses Maß an Redundanz voraus und stellt neue Anforderungen an die eingesetzten Mikrocontroller. Architektur-Verbesserungen der neuen Aurix-Mikrocontroller-Generation von Infineon Technologies beinhalten eine höhere Leistungsfähigkeit sowie unabhängigere CPUs und Speicher, schnellere Kommunikationsschnittstellen wie auch kleinere Gehäuse für redundante Systeme.

Elektronische Systeme in heutigen Fahrzeugen sind in der Regel für „Fail-Silent“ ausgelegt, d.h. im Fehlerfall muss der Fahrer die Kontrolle des Fahrzeugs übernehmen. Mit der Einführung hochautomatisierter Fahrzeuge wird in Zukunft im Fehlerfall kein Eingreifen des Fahrers mehr erforderlich oder möglich sein, sodass sich dieser während des Fahrens anderen Aktivitäten widmen kann, entsprechend den Automatisierungsebenen der Levels 3 und 4 (gemäß SAE/VDI-Definition). Level 5 definiert das Fahren von komplett fahrerlosen Fahrzeugen. Das setzt dann eine voll redundante Steuerungs-Architektur sowie die Unterstützung von entsprechenden Sicherheitsstandards voraus.

Sicherheitsstandards und Fail-Operational-Systeme

ISO 26262 ist der akzeptierte Sicherheitsstandard für die Fahrzeugelektronik. Nach diesem Standard richten Halbleiterhersteller wie Infineon ihre Sicherheitskomponenten wie Aurix-Mikrocontroller, Sensoren, Stromversorgung und Umrichtertreiber aus. Bei der Einführung im Jahr 2011 bezog sich ISO 26262 vor allem auf hochverfügbare und Fail-Silent-Systeme. Die neue Ausgabe des Standards (ISO 26262 Edition 2), die in wenigen Jahren eingeführt wird, wird eine genaue Charakterisierung von Fail-Operational-Systemen ermöglichen, um die neuen Anforderungen der Automobilindustrie abzubilden.
Die Anzahl der in einem Fahrzeug benötigten Systeme für Fail-Operational-Funktionen hängt vom jeweiligen Automatisierungsgrad sowie von der Art des Umgangs mit relevanten Fehlern ab. Heute findet man bei Level 3 als häufigste Fehlerreaktion »Not-Halt innerhalb von 10 bis max. 30 Sekunden«. Diese Anforderungsstufe betrifft die folgenden Aktoren: Bremse, Lenkung und die Möglichkeit zur Abkopplung des Fahrzeugs von der Antriebsmaschine oder dem Motor. Weitere unterstützende Aktoren wie Licht und HMI sind ebenfalls betroffen, jedoch nicht unbedingt kritisch.

Redundanzkonzepte

Die Triple-Modular-Redundanz ist ein häufig genutzter Ansatz für Fail-Operational-Systeme – auch bekannt als „2-out-of-3“ (2oo3). Dieses Konzept basiert auf drei gleichwertigen In¬stanzen, auf denen der gleiche Algorithmus läuft. Diese werden dann miteinander abgeglichen und mittels Mehrheitsentscheider (Majority Voter) ausgewertet (Bild 1). Dieses Verfahren kann sowohl für Hardware als auch für Software angewendet werden und ist beispielsweise der Standard in der Luftfahrt. Die Herausforderung bei diesem Ansatz ist jedoch die Komplexität und die Sicherheit des „Voter“. Die Komplexität der entsprechenden Hardware für Echtzeitsysteme wie elektrische Motorsteuerungen (ECUs) erhöht sich dadurch deutlich, was sich wiederum in den Gesamtkosten niederschlägt. Aus diesem Grund sind Architekturen mit „Dual-Dual-Redundanz“ die Referenz in der Automobilindustrie.

Eine dual-dual-redundante Architektur besteht aus zwei unabhängigen Verarbeitungskanälen, wobei es sich bei jedem Kanal um einen Fail-Silent-Kanal handelt (Bild 2).

Ein Fail-Silent-Kanal basiert normalerweise auf einer 1oo1D-Architektur (Einzelkanal mit Diagnosefunktion). Die auch als „2oo2DFS“ bekannte Dual-Dual-Architektur lässt sich durch symmetrische oder asymmetrische Redundanz umsetzen. Eine solche 2oo2DFS-Architektur eignet sich gut für elektrische Motorsteuerungen, insbesondere, wenn im Fehlerfall nur ein Teil des Drehmoments für die Fehlerbetrachtung berücksichtigt werden muss.

Applikationen wie Bremssysteme und Lenkung bieten zwei Arten von Funktionen:

  • sicherheitskritische Funktionen und
  • Komfortfunktionen.

Weil der Fokus bei Fail-Operational-Systemen auf den sicherheitskritischen Funktionen liegt, ermöglicht die Flexibilität der 2oo2DFS-Architektur den Einsatz einer asymmetrischen Architektur und somit die Optimierung der benötigten Bauelemente. Das wird erreicht, indem in einem Kanal eine komplexere und leistungsfähigere und in dem zweiten Kanal eine kleinere, kosteneffiziente MCU zum Einsatz kommen. Durch die leistungsstärkere MCU im ersten Kanal können sowohl Komfortfunktionen als auch sicherheitskritische Funktionen vereint werden, wohingegen mit der kleineren MCU im zweiten Kanal ausschließlich die Fail-Operational-Anforderungen der sicherheitskritischen Funktionen abgedeckt werden.