Sicher in die Zukunft mit Ethernet TSN Funktionale Sicherheit für Fail-operational-Anwendungen

Redundante Datenübertragung

Mit den TSN-Standards werden zudem Funktionen und Protokolle für eine redundante Datenübertragung zur Verfügung gestellt. Um die Verfügbarkeit der Daten zu erhöhen, werden nun Ring-Topologien in Ethernet-Netzwerken unterstützt und damit voneinander getrennte Kommunikationswege ermöglicht. Eine erneute Übertragung im Fall eines Paketverlusts ist im Hinblick auf künftige Echtzeit- und Übertragungsanforderungen nicht mehr ausreichend. Beim Auftreten eines Fehlers auf dem Kommunikationspfad resultiert daraus oft auch ein Verlust der originalen Daten. Diese können nicht in jedem Falle wiederhergestellt oder generiert und damit auch nicht mehr neu übertragen werden.

Der Standard IEEE 802.1CBFrame Replication and Elimination for Reliability“ adressiert dieses Problem durch die Duplizierung und Versendung von Datenströmen über unterschiedliche Pfade im Netzwerk. Dadurch wird die Verfügbarkeit der Daten erhöht, weil bei Verlust eines Pakets das Duplizierte stets schon bereit steht. IEEE 802.1CB kann die Redundanz transparent für die Sender und Empfänger durch einen sogenannten „Proxy-Mode“ anbieten. Das bedeutet, dass die Mikrocontroller lediglich die Datenströme markieren, welche von den Switches im Netzwerk dupliziert werden müssen. Weitere Rechenanforderungen sind für die Mikrocontroller nicht erforderlich, weil die Switches auf dem Pfad von Sender zu Empfänger diese rechenintensiven Operationen übernehmen.

Der Standard beschränkt sich dabei nicht nur auf eine einfache Redundanz, denn die Datenströme können auch mehrfach dupliziert werden. Somit bietet der Standard eine funktional transparente Möglichkeit zur Fehlererkennung auf der Netzwerkschicht. Die Konfiguration dafür kann entweder statisch oder auch zur Laufzeit durch Protokolle gesetzt werden.

Per Stream Filtering

Zur Einführung von Ethernet ins Fahrzeugnetzwerk beschränkte sich der Anwendungsbereich zumeist auf den Diagnosezugang oder auf Multimedia-Anwendungen. Für kommende Architekturen wird die Bandbreite an Anwendungen um die Bereiche Fahrerassistenz, Backbone und serverbasierte Kommunikation erweitert (Bild 2). Es wird zunehmend notwendig sein, verschiedenartige Daten auf einem gemeinsamen Kommunikationspfad zu übertragen. Diese Daten haben zum Teil unterschiedliche Übertragungsanforderungen und müssen sich oftmals den gleichen Switch und sogar den gleichen Ausgangsport zu einem Kommunikations-Backbone teilen.

Die Vermischung der Datenströme mit gleichen oder auch unterschiedlichen Ausgangs-Warteschlangen bietet Potenzial für Störungen. Ein Fehlverhalten eines einzelnen Datenstroms, wie Überschreitung seiner vereinbarten Datenrate, kann Auswirkungen auf andere Datenströme haben und diese benachteiligen oder verdrängen. Das kann dazu führen, dass diese jeweiligen Datenpakete ihre Übertragungsziele nicht mehr erreichen können. Denn zum einen können Pakete verloren gehen und zum anderen Latenzgrenzen nicht mehr eingehalten werden. Zudem können sich die Fehler im Netzwerk propagieren und somit unvorhersehbaren Querauswirkungen verursachen.

Der aus dem Automobilbereich initiierte Standard IEEE 802.1Qci „Per-Stream Filtering and Policing“ (PSFP) überprüft kontinuierlich am Eingangs-Port eines Switches oder MAC eines Controllers, ob die Anforderungen der eingehenden Datenströme oder -klassen eingehalten werden. PSFP unterstützt eine Vielzahl an Parametern zur Überprüfung, zum Beispiel maximale Datenrate oder Absenderadresse. Der Standard kann beim Eintreten von Blockaden des gesamten Datenstroms oder auch einzelner Daten reagieren und die reservierte und zugesicherte Bandbreite der anderen Datenströme stets garantieren. Somit trägt er dazu bei, die Freedom from Interference auf Backbone-Verbindungen zu garantieren.

Traffic Shaping

Ethernet AVB wurde mit dem Ziel entwickelt, Multimediadaten über ein Netzwerk zu versenden. Dadurch wurden die Übertragungsanforderungen von maximal 2 ms über sieben Hops abgeleitet. Mit dem Start der TSN-Aktivitäten wurde 100 µs als neues Design-Ziel gewählt. Im Gegensatz zu AVB, das sich lediglich auf die Länge des Netzwerks beschränkt hat, wurden mit TSN vielmehr die Topologie und der Querverkehr berücksichtigt. Hierdurch sollen auch Regelschleifen über Backbone-Topologien unterstützt werden, wie sie für das automatisierte Fahren erforderlich werden.

Für die garantierte Übertragung und Weiterleitung von Ethernet-Frames wurden drei weitere sogenannte „Traffic Shaper“ entwickelt. Diese haben das gemeinsame Ziel, Datenrate für die Datenströme zu garantieren. Die Traffic Shaper bedienen jeweils unterschiedliche Anwendungen und zeichnen sich durch Unterschiede im Konfigurationsaufwand und der maximalen Latenz aus. Mit TSN wurden zwei neue Traffic Shaper entwickelt, die auch eine zeitgesteuerte Weiterleitung von Paketen ermöglichen. Diese sind als IEEE 802.1Qbv, der sogenannte „Time Aware Shaper“ (TAS), und IEEE 802.1Qch, der sogenannte „Cyclic Shaper“, verabschiedet.

Die beteiligten Switches und Endknoten werden vorab mit Hilfe des generalized Precision Time Protocols (gPTP) synchronisiert und so auf eine gemeinsame Zeitbasis eingestellt. Diese Zeitbasis wird genutzt, um die Ausgangswarteschlangen zeitgesteuert zu leeren und jeweils die einzelnen Warteschlangen zu blockieren, die nicht senden dürfen. Somit kann mithilfe eines Ablaufplanes konfiguriert und ausgeschlossen werden, dass sich Datenströme gegenseitig blockieren oder nicht zeitnah weitergeleitet werden, was wiederrum zur Freedom from Interference beitragen kann.

Der Ablaufplan ist im weitesten Sinne mit dem des Flexrays vergleichbar. Unter der Annahme einer hochsynchronen und verfügbaren Uhrzeit, die mit dem zuvor vorgestellten IEEE 802.1AS-Rev bereitgestellt wird, kann so jeweils vorhergesagt werden, wann ein Frame beim Empfänger eintrifft, was zur Steigerung der Zuverlässigkeit im Netzwerk beitragen kann.

Im Gegensatz zum mit dem TAS implementierten TDMA-Verfahren (Time Division Multiple Access) arbeiten die zwei weiteren Traffic Shaper IEEE 802.1Qav, der sogenannte „Credit Based Shaper”, und IEEE 802.1Qcr, der sogenannte “Asynchronous Shaper“, mit bewusster Verzögerung, um den Paketverlust beim Auftreten von Bursts zu vermeiden. Das geht zwar auf Kosten der Latenz, garantiert dafür aber eine Übertragung der Datenpakete innerhalb eines bestimmten Zeitfensters, wodurch die Beeinflussung von Datenströmen untereinander ebenfalls ausgeschlossen und die Freedom from Interference unterstützt werden können.

Frame Preemption

Mit Einführung der Standards IEEE 802.1Qbu und IEEE 802.3br wird ein Verfahren eingeführt, das es ermöglicht, eine Übertragung im Netzwerk zu pausieren und somit einem höher priorisierten Datenpaket das Überholen zu ermöglichen.
Um dieses Verfahrens verwenden zu können, ist es notwendig, beim Netzwerkdesign festzulegen, welche Datenpakete unterbrochen werden können und welche nicht. Dazu werden die Daten in die Klassen „Express Traffic“, welche nicht unterbrochen werden kann, und „Preemptable Traffic“, die bei Bedarf pausieren kann, eingeteilt. Somit kann für den Express Traffic eine niedrigere Latenz zugesichert werden, was die Zuverlässigkeit positiv beeinflusst.

Fehlverhalten im Netzwerk vorbeugen

TSN erweitert Automotive Ethernet durch eine Vielzahl von Funktionen, um Fehlverhalten im Netzwerk vorzubeugen und Ausfälle zu vermeiden. Viele der TSN-Standards können dazu beitragen die Anforderungen der funktionalen Sicherheit zu erfüllen. Eine Übersicht dieser Mechanismen ist in der Tabelle dargestellt.

StandardZweckBeitrag zurfunktionalenSicherheit
   Verfügbarkeit Zuverlässigkeit Freedom  from Interference
IEEE 802.1AS-RevZeitsynchronisationx x
IEEE 802.1CBRedundante Kommunikationswegex  
IEEE 802.1Qbu &
IEEE 802.3br
Frame Preemption x 
IEEE 802.1QbvZeitgesteuerte Weiterleitung von Paketen xx
IEEE 802.1QchZeitgesteuerte Weiterleitung von Paketen x 
IEEE 802.1QciIngress Filtering and Policing  x
IEEE P802.1QcrAsynchronous Traffic Shaping x 

 

Tabelle. TSN-Standards und wie diese dazu beitragen können, die Anforderungen der funktionalen Sicherheit an das Kommunikationssystem zu erfüllen.

Um die Anforderungen der funktionalen Sicherheit an eine Funktion mit Ethernet-Kommunikation zu erfüllen, wird es notwendig sein, mehrere TSN-Standards zu kombinieren. Schließlich kann jeder Standard für sich nur einen kleinen Teil dazu beitragen, die übergeordneten Vorgaben der funktionalen Sicherheit zu erfüllen. Insgesamt bieten die TSN-Standards eine sehr gute Grundlage, um Fail-operational-Funktionen in einem Ethernet-Netzwerk zu realisieren. Das muss jedoch im Kontext einer detaillierten Funktionsanalyse und der Konfiguration des Gesamtnetzwerks untersucht werden.

 

Die Autoren

Dr. Helge Zinner

promovierte an der Technischen Universität Ilmenau im Fachgebiet Kommuni-kationsnetzwerke. Seit 2009 beschäftigt er sich als Systemarchitekt bei Continental mit dem Thema Automotive Ethernet.

 

 

 

 

Stefan Brunner

arbeitet bei Continental Automotive in der divisionsübergreifenden Vorentwicklung „Corporate Systems and Technology“ als Systemarchitekt. Brunner beschäftigt sich dort mit neuen Konzepten und Technologien zur Vernetzung von zukünftigen E/E-Architekturen im Fahrzeug mit dem Schwerpunkt Ethernet.

 

 

 

Martin Hummel

arbeitet bei Continental Automotive in der divisionsübergreifenden Vorentwicklung „Corporate Systems and Technology“. Er beschäftigt sich dort mit ausfallsicheren Kommunikationsnetzwerken in zukünftigen Fahrzeugarchitekturen.

 

 

 

 

Ludwig Ramsauer

arbeitet bei Continental Automotive in der divisionsübergreifenden Vorentwicklung „Corporate Systems and Technology“ als Vehicle System Architect. Ramsauer beschäftigt sich dort mit neuen Konzepten und Technologien für zukünftige E/E-Architekturen im Fahrzeug mit dem Schwerpunkt Versorgung.