Startseite > Automation > Steuerungstechnik > Grundlegendes zu funktionaler Sicherheit

Fünf Fragen an Renesas

Grundlegendes zu funktionaler Sicherheit

22. Oktober 2015, 11:43 Uhr | Ralf Higgelke

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 1

Beliebte Stolperfallen umgehen

Was sind beliebte Stolperfallen, und wie kann man diese umgehen?

Eine Produktentwicklung für sichere Anwendungen ist deutlich aufwendiger und teurer als eine normale Produktentwicklung. Hier sind insbesondere folgende Gründe zu nennen: fehlende Erfahrung in der Umsetzung von Sicherheitsnormen; zusätzlicher Aufwand für Support und Maintenance während des gesamten Produktlebenszyklus; Kosten für Systemredundanzen; erschwerte Wiederverwendbarkeit von Systemkomponenten; erschwerte Verwendung von Außer-Haus-Zulieferungen, wie zum Beispiel Software-IP; Schulung der Mitarbeiter; hoher Zertifizierungsaufwand. Die höheren Kosten und der längere Entwicklungszyklus sowie eine langwierige Abnahme durch die Zertifizierungsstelle werden oft unterschätzt.

Um generell den Aufwand zu reduzieren, sollten Entwickler bei der Planung darauf achten, bereits vorzertifizierte Komponenten zu verwenden, wie beispielsweise einen hochkomplexen Mikrocontroller. Das hat für den Systementwickler mehrere Vorteile: Zum einen spart es Entwicklungszeiten. Neben der bereits nach den Anforderungen der IEC 61508 entwickelten Diagnosesoftware stehen auch die Ergebnisse aus der Sicherheitsanalyse zur Verfügung. Eine Diskussion mit dem Halbleiterhersteller über FIT-Raten entfällt ebenso wie mit der Zertifizierungsstelle. Weiterhin sind sämtliche Diagnosemaßnahmen und Anwendungsmöglichkeiten in Sicherheitssystemen in einem entsprechenden Sicherheitshandbuch der Komponente beschrieben. Zum anderen reduziert eine vorzertifizierte Komponente das Risiko der späteren Systemzertifizierung erheblich. Dies gewährleistet bessere Planbarkeit sowie kürzere Entwicklungszeiten. Der Systementwickler kann sich ganz auf den Bereich konzentrieren, in dem er mit seiner Kernkompetenz den größten Mehrwert einbringt: auf die eigentliche System- und Applikationsentwicklung.

Wie kann ein Halbleiterhersteller wie Renesas seinen Kunden beim Thema funktionale Sicherheit helfen, wenn es allein um die reine Hardware geht?

Um Produktentwicklern einen klaren Vorteil bei der Sicherheits-Systementwicklung zu bieten, haben wir für unsere Mikrocontroller der 32-Bit-Familie »RX« eine Safety-Lösung entwickelt. Diese besteht aus einem Sicherheitshandbuch, dem sogenannten »Safety Manual«, sowie einer Software-Selbsttest-Bibliothek. Der TÜV Rheinland hat die Lösung zum Einsatz in Sicherheitsanwendungen nach der IEC 61508 zertifiziert. Das entsprechende Zertifikat sowie der Testbericht werden ebenfalls mitgeliefert.

Für die Sicherheitsbewertung des Mikrocontrollers haben wir bei Renesas eine sogenannte FMEDA, eine Failure Modes Effects and Diagnostic Analysis durchgeführt, um die Effektivität der Hardware gegen Fehlerausfälle zu ermitteln. Mit einer FMEDA lassen sich die Ausfallraten für jeden MCU-Block berechnen, wobei Auswirkungen von sowohl von dauerhaften als auch kurzzeitigen Fehlern berücksichtigt werden. Die Analyse berücksichtigt auch die Wahrscheinlichkeit, inwieweit solche Fehler einen gefährlichen oder einen ungefährlichen Ausfall verursachen können. Die Analyseergebnisse sowie weitere relevante Informationen in Bezug auf die sichere Nutzung der MCU sind im Sicherheitshandbuch aufgeführt. Unsere Kunden können dieses ihrerseits bei der Produktzertifizierung vorweisen und damit die Prüfzeiten beim TÜV klar verkürzen.

Natürlich ist Safety kein reines Hardwarethema, sondern es geht auch um geeignete Tools sowie Middle- und Software. Wie deckt Renesas diese Bereiche ab?

Kern unserer Sicherheitslösung ist eine speziell entwickelte Selbsttest-Software, welche die fehlerfreie Funktion von CPU, RAM und ROM im Mikrocontroller während des Dauereinsatzes garantiert. Diese Diagnosesoftware erreicht eine nachgewiesene Fehlerabdeckung von 90 Prozent und schafft damit die Voraussetzung für den Einsatz in SIL2- und SIL3-Anwendungen nach der IEC 61508. Das Besondere hierbei ist der CPU-Selbsttest, für dessen Entwicklung Fehlersimulationen auf der tatsächlichen MCU-Produktnetzliste durchgeführt wurden, um die Fehlerabdeckung nachzuweisen. Kunden, die ohne Kenntnis der tatsächlichen Hardwarestrukturen des Mikrocontrollers eigene CPU-Selbsttests schreiben, können die nach IEC 61508 geforderte Fehlerabdeckung selbst nicht erreichen.

Außerdem umfasst die IEC 61508 normbezogene Anforderungen für Tools. Werkzeuge der Klassen T2 und T3 erfordern eine Spezifikation oder ein Produkthandbuch, das deren Verhalten und dessen Entwicklungszyklus definiert. Um diese Anforderungen einzuhalten, setzten wir bei der Entwicklung der Diagnosesoftware ein bereits zertifiziertes Werkzeug ein. Die »Embedded Workbench for RX« von IAR Systems umfasst eine Palette von Software-Entwicklungswerkzeugen für die Erstellung von Embedded-Anwendungen. Mithilfe der in dieser Entwicklungsumgebung implementierten Qualitätssicherungsmaßnahmen und des mitgelieferten Sicherheitshandbuchs können Anwendungsentwickler die Embedded Workbench einsetzen, um sicherheitsrelevante Software für alle Sicherheitsstufen nach IEC 61508 zu entwickeln.

Das Interview führte Ralf Higgelke.