Sicherheit im Paket

Sicherheit im Paket
Sicherheit im Paket

Rundumpakete für die funktionale Sicherheit mit den Infineon-Mikrocontrollern XC2300 und TriCore

Zur Zeit gibt es eine Wandlung im Embedded-Markt. In immer mehr Systemen sind die Mikrocontroller für sicherheitsrelevante Aspekte verantwortlich und fallen damit unter die SIL- und ASIL-Level der internationalen Standards wie ISO 26262 oder IEC 61508. Während bisher sicherheitsrelevante Funktionen durch gesonderte und evtl. redundante Hardware gelöst wurden, ist es heute wesentlich ökonomischer, diese auch durch den Mikrocontroller überwachen zu lassen. Wenn der Mikrocontroller dabei sicherstellen kann, dass er stets sicher im Sinne der Standards funktioniert, so ist das kein Problem. Und genau hier kann der Mikrocontroller-Hersteller sehr helfen, denn er kennt die Fehlermöglichkeiten genau und kann am besten sagen, wie solche Fehler rechtzeitig erkannt werden können.

Genau dies ist mit dem „PRO-SIL“-Ansatz von Infineon Technologies und Hitex Development Tools geschehen. PRO-SIL weist die sichere Funktion des Mikrocontrollers nach, damit sich der Entwickler auf seine Applikation konzentrieren kann.


Was ist funktionale Sicherheit?

Was funktionale Sicherheit bedeutet - in Anbetracht der inzwischen akzeptierten Kenntnis, dass es keine absolut sicheren Systeme gibt - versuchen die Normen zu definieren. Die IEC 61508 gilt als Grundnorm für funktionale Sicherheit, aus der dann branchenspezifische Normen wie die ISO 26262 für den Automobilbereich abgeleitet wurden. Weitere spezifische Normen gibt es auch für Flugzeuge, Kernkraftwerke, Bahnanwendungen, Medizintechnik, Feuerungen bis hin zu Hausgeräten. Auch wenn diese Normen sehr unterschiedlich sind, ist das Prinzip doch ähnlich und vieles wird aus der Grundnorm abgeleitet, auf die hier hauptsächlich referenziert wird.

Als Risiko definieren die Normen das Produkt aus der Eintrittshäufigkeit eines Fehlers und der Schwere der Auswirkungen. Im Grundsatz geht es darum, das Risiko eines Systems zu bewerten und durch geeignete Maßnahmen so zu minimieren, dass das Restrisiko kleiner ist als das tolerable Risiko.

Wie umfangreich diese Maßnahmen sein müssen, definieren die Safety Integrity Level (SIL 1 bis SIL 4, bzw. im Automobilbereich ASIL A bis ASIL D). Hierbei wird unterschieden, ob das System permanent (high demand rate) oder nur auf Anforderung (low demand rate) aktiv ist. So ist z.B. die Anforderung an ein System nach SIL 3, dass die Fehlerrate kleiner als 10-7/h bei high demand rate bzw. kleiner als 10-3/h bei low demand rate ist.

Die Maßnahmen zur Gefahrenreduktion verteilen sich auf das Vermeiden von systematischen Fehlern und das Beherrschen von statistischen Fehlern. Systematische Fehler beziehen sich meistens auf Software - ihre Vermeidung bestimmt den ganzen Entwicklungsprozess vom Design über Implementierung, die verschiedenen zugeordneten nachvollziehbaren Tests bis hin zur Dokumentation nach dem V-Modell. Statistische Fehler hängen meistens mit der Hardware zusammen. Hier müssen Fehler, besonders des Mikrocontrollers, erkannt und damit unschädlich gemacht werden. Damit steigt - wie die Norm es ausdrückt - die „Safe Failure Fraction“ (SFF), also der Anteil ungefährlicher Fehler, es steigt die Verfügbarkeit des Systems, was wiederum die Sicherheit erhöht.

Einen guten Einstieg in die recht umfangreichen, schwer verständlichen und oft auch interpretierbaren Normen gibt das Werkzeug RiskCAT, bei dem aus den Systemeigenschaften die SIL-Stufen sowie sämtliche empfohlenen und notwendigen Maßnahmen ersichtlich sind und auch auf die betreffenden Stellen in der Norm referenziert werden kann, was die Planung eines Sicherheitsprojektes deutlich leichter und klarer macht (www.hitex.com/riskcat).