Sicher in die Zukunft mit Ethernet TSN Funktionale Sicherheit für Fail-operational-Anwendungen

Vielfältige Anforderungen in der funktionalen Sicherheit mit Ethernet-TSN-Standards.
Vielfältige Anforderungen in der funktionalen Sicherheit mit Ethernet-TSN-Standards.

Automatisierte Fahrsysteme versprechen mehr Verkehrssicherheit. Für die technische Umsetzung sind Anforderungen der funktionalen Sicherheit zu erfüllen, die sich u.a. auf das Kommunikationssystem im Auto auswirken. Mit den Ethernet-TSN-Standards stehen hierfür eine Reihe von Mechanismen bereit.

Mit der Übergabe der Kontrolle vom Fahrer an das autonome Fahrzeug ändern sich die Anforderungen in Bezug auf die funktionale Sicherheit in erheblichem Umfang, weil damit die letzte Rückfallebene entfallen wird. Fortan kann nicht mehr davon ausgegangen werden, dass im Fehlerfall der Fahrer unmittelbar die Kontrolle übernimmt. Daher ist ein sogenanntes Fail-silent-Verhalten nicht mehr ausreichend. Fail-silent bezeichnet dabei im Fehlerfall den Übergang der Funktion in einen sicheren Zustand, in dem keine Gefahr besteht.

Die nach aktuellem Stand der Technik verwendete Ende-zu-Ende-Absicherung (E2E) für die Kommunikation ist damit nicht mehr ausreichend, weil Fahrfunktionen als fail-operational ausgeführt werden müssen. Das bedeutet, dass die Funktion auch im Fehlerfall, wenn auch in einer degradierten Form, weiter ausgeführt werden muss, was zur Folge hat, dass die Datenkommunikation weiter aufrecht erhalten werden muss. Speziell bei Anwendungen des automatisierten Fahrens ab Level 3 oder höher ist das der Fall. Dann kann nicht mehr davon ausgegangen werden, dass der Fahrer als direkte Rückfalllösung in Frage kommt.

Fail-operational führt dazu, dass die gesamte Kommunikationsstrecke die Anforderungen in Hinsicht auf die funktionale Sicherheit vom übergeordneten Safety-Goal der Funktion erbt (Bild 1). Im Fall des automatisierten Fahrens handelt es sich hierbei zumeist um die höchste Sicherheitsstufe, das als Automotive Safety Integrity Level D (ASIL-D) bezeichnet wird, welche somit auch auf die Kommunikation anzuwenden ist.

Funktionale Sicherheit nach ISO 26262 für die Kommunikation

Für eine Safety-Betrachtung nach ISO 26262 bei einem Fail-operational-System muss die Kommunikation weiterhin Anforderungen an die Zuverlässigkeit und Freedom from Interference erfüllen. Weitestgehend neu ist aber der Gesichtspunkt der Verfügbarkeit.

Die Verfügbarkeit wird dabei definiert als die Fähigkeit einer Komponente sich in einem Zustand zu befinden, um die angeforderte Funktion unter bestimmten Bedingungen zu einem bestimmten Zeitpunkt in einem festen Zeitintervall zu erfüllen – wenn alle externen Ressourcen zur Verfügung stehen. Negativ beeinflusst wird die Verfügbarkeit der Kommunikation zum Beispiel durch den Ausfall einer Verbindung.

Die Zuverlässigkeit beschreibt die Wahrscheinlichkeit eines Systems, seine angedachte Funktion innerhalb eines bestimmten Zeitintervalls auszuführen. Das bedeutet, dass beispielsweise die Datenpakete korrekt, rechtzeitig und beim richtigen Empfänger eintreffen.

Die sogenannte Freedom from Interference beschreibt allgemein die Rückwirkungsfreiheit in einem System oder einer Funktion. Bezogen auf Kommunikationssysteme, die sich ein Kommunikationsmedium teilen, so wie das im Fahrzeug häufig der Fall ist, darf die betrachtete Funktion durch keine andere Funktion auf dem Medium beeinflussbar sein.

TSN-Mechanismen für Safety-relevante Kommunikation

Seit dem Jahr 2012 werden die als Audio/Video Bridging (AVB) zusammengefassten und im Automotive-Bereich etablierten Standards unter dem Namen Time Sensitive Networking (TSN) weiterentwickelt. Die Inhalte der Standards erweitern den Bridging-Standard IEEE 802.1Q und definieren Mechanismen zur Datenübertragung in Ethernet-Netzwerken.

Zeitsynchronisation

Eine Zeitsynchronisation zwischen den Steuergeräten und Sensoren ermöglicht schon heute eine präzise Sensordatenfusion und ist eine fundamentale Funktion in Automotive-Ethernet-Netzwerken. Zur Erhöhung der Verfügbarkeit der Zeitinformationen erweitert Ethernet TSN den bereits bestehenden AVB-Standard IEEE 802.1AS um zusätzliche Funktionen. Zum einen unterstützt der Standard mehrere Zeitgeber, welche als sogenannte „Grandmaster“ bezeichnet werden, zum anderen werden erstmals parallele Übertragungswege für Zeitsynchronisationsnachrichten ermöglicht.

Der aktuelle Standard IEEE 802.1AS unterstützt bereits dynamische Änderungen des Netzwerks durch seinen Best Master Clock Algorithm (BMCA). Wenn zum Beispiel die beste und eventuell einzige Uhr des Netzwerkes ausfällt, Nachrichten verloren gehen oder der Link zu dieser Uhr ausfällt, dann sucht und selektiert der BMCA einen neuen Grandmaster.

Bezogen auf Fail-operational-Anwendungen ist das aber nicht ausreichend, weil es während der Rekonfiguration zu einer Totzeit kommt. Daher werden Announce-Nachrichten zyklisch zwischen den Ethernet-Steuergeräten ausgetauscht und auf Basis der besseren Geräte- und Uhreneigenschaften kann so dynamisch die neue beste Uhr selektiert werden. Allerdings kann beim Übergang zu einer anderen Uhr ein Zeitsprung entstehen, der nicht von allen Anwendungen toleriert wird.

Die TSN-Version IEEE 802.1AS-Rev bietet nun die Möglichkeit, einen zweiten Grandmaster statisch zu bestimmen, um einen nahtlosen Übergang möglich zu machen. Es kommt somit zu keiner Totzeit mehr, was in einer höheren Verfügbarkeit für die globale Uhrzeit resultiert.

Der Zeitsynchronisationsstandard spezifiziert dabei nur die Zustandsmaschinen, lässt aber dennoch offen, wie beispielsweise mit dem Empfang mehrerer Synchronisationsnachrichten umgegangen wird. Es ist nicht mehr Aufgabe des Ethernet-Standards Zeitsynchronisationsnachrichten zu fusionieren oder etwa einen geeigneten Mittelwert zu bilden, diese Aufgabe muss in der Software-Implementierung der Anwendung gelöst werden.