µC für Automobil-Steuergeräte Dependable Computing im Auto der Zukunft

Mit der Elektromobilität, dem automatisierten Fahren und der Vernetzung steigen die Datenmengen und Sicherheitsanforderungen im Fahrzeug. Gleichzeitig ist eine hohe Robustheit der Fahrzeugfunktionen gefragt. Genug Gründe, so Peter Schäfer von Infineon, um auf neue Architekturen zu setzen.

Domänen- und Zonen-Steuergeräte werden logische Softwarefunktionen aus heute verteilten Systemen integrieren. Die Entwicklungskomplexität verlagert sich damit aus dem Fahrzeugnetzwerk mit vielen Einzelsteuergeräten in die Hardware- /Softwarearchitektur zen­traler Domänen-/Zonensteuergeräte. Neben skalierbarer Rechenleistung bis hin zu 15 kDMIPS (Dhrystone Million Instructions Per Second) erfordern diese Flexibilität zur Integration von Funktionen verschiedener ASIL (Automotive Safety Integrity Level) nach ISO26262. Systemverfügbarkeit wird so zu einer echten technischen Herausforderung.

Gigabit-Ethernet wird es erlauben, große Datenmengen zwischen Domänenrechnern auszutauschen. Für die Kommu­nikation mit Sensorik und Aktoren werden weiterhin klassische Netzwerktechniken wie CAN, Flexray und LIN
genutzt werden.

Und schließlich wird Crypto-Sicherheit eine zentrale Rolle spielen. Sichere
Softwareupdates im späteren Fahrzeugbetrieb, das Erkennen von Manipula­tionen des Netzwerks und der Schutz privater Daten erfordern leistungsfä­hige Sicherheitsfunktionen in allen Steuergeräteklassen.

Zuverlässige, robuste Rechner

All dies stellt erhöhte Anforderungen an die Mikrocontroller. Dependability, d.h. die Robustheit und Skalierbarkeit einer Mikrocontroller-Familie, wird zu einem wichtigen Kriterium. Nachweisbar deterministisches Verhalten bei zeitkritischen Funktionen und schnelle Recovery im Fehlerfall sind wesentliche Elemente eines robusten Rechners.

Hier zeigen Multi-Core-Mikrocontroller-Familien mit optimierten Architek­turen für Echtzeit-Steuerungen ihre Stärken. Klassische Prozessoren mit komplexem Speichermanagement und multiplen Cache-Ebenen erlauben es z.B. oft nicht, die maximalen Ausführungszeiten von Funktionen zuverlässig vorherzusagen.

Auch technische Zuverlässigkeit ist eine essenzielle Eigenschaft von robusten Rechnerfamilien. Mit einem stringenten Entwicklungsprozess, umfangreichen Simulationen von Alterungseffekten und speziellen Funktionsblöcken zur Testbarkeit können im Betriebseinsatz Fehlerraten im ppb-Bereich (Parts per Billion) erreicht werden.

Zusätzlich sorgen integrierte Flash- und RAM-Speicher mit ihren Sicherheitsmechanismen für Robustheit über den gesamten Lebenszyklus. Hier unterscheiden sich moderne Automobil-Mikrocontroller-Familien klar von Mikrocontrollern, die aus Konsumgeräte- oder Kommunikationsanwendungen abgeleitet sind.

An künftige Anforderungen schnell anpassen

Außerdem spielt die Skalierbarkeit eine große Rolle. Wie schnell kann auf Änderungen der Marktanforderungen reagiert werden, ohne neu entwickeln zu müssen? In komplexen Multi-Core-Systemen stehen Softwarearchitektur und funktionale Sicherheitskonzepte nach ISO26262 für hohe Forschungs- und Entwicklungsaufwände. Heute sind kostengünstige Single-Core-ASIL-D-Rechner bis hin zu Hexa-Core-Rechnern mit 16+ MB Flash-Speicher, großen funktional sicheren RAM-Blöcken und speziellen applikationsspezifischen Beschleunigern gefragt.

Last, but not least bedarf es einer gesamtheitlichen Sicherheitsarchitektur, die alle Funktionselemente wie Rechenkerne, Speicherblöcke, Busse, Kommunikationsschnittstellen etc. adressiert.

Isolierte »Safety Islands« auf Prozessoren genügen nicht, um potenziell
sicherheitskritische Fehlfunktionen auszuschließen. In ECU-Konzepten für Domänenrechner setzt man eine Kombination aus Prozessoren und ASIL-D-fähigen Mikrocontrollern ein, z.B. aus der Aurix-TC3x-Familie von Infineon, um ein Maximum an funktionaler Sicherheit zu garantieren.

Neue Fahrzeug-E/E-Architekturen unterstützen Software-Updates im Betrieb. Schutz vor manipulierten Updates, aber auch die Absicherung des Netzwerkverkehrs im Fahrzeug gegen Attacken bedarf leistungsfähiger Hardware-Security-Module. Integriert im Mikrocontroller verfügen diese Module über eigene Rechenkerne und Speicher und erlauben es, kryptografische Funktionen mit minimaler Latenz zu verarbeiten.

 

Der Autor

Peter Schäfer

Vice President und General Manager Automotive Microcontroller Infineon Technologies, leitet bei Infineon die Geschäftseinheit Automotive Microcontroller. Er hat Elektrotechnik an der RWTH Aachen studiert und war in den vergangenen 25 Jahren bei Siemens Halbleiter, Infineon Flash, Qimonda und Infineon Technologies in unterschiedlichen leitenden Funktionen im Sales & Marketing, Entwicklung und Productline Management verantwortlich.

Seit 2008 ist Schäfer für die Business Unit Automotive Microcontroller verantwortlich, die vor allem mit Produkten der TriCore- und Aurix-Mikrocontroller-Familien große Erfolge im Automobilmarkt hat.

peter.schaefer@infineon.com