Startseite > Embedded > Hardware > Funktionale Sicherheit in verteilten Embedded-Systemen

PES

Funktionale Sicherheit in verteilten Embedded-Systemen

8. Juli 2013, 9:29 Uhr | Olaf Winne

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 2

Ausfallwahrscheinlichkeit verteilter Funktionen

Die Ausfallwahrscheinlichkeit beschreibt die Wahrscheinlichkeit eines gefährlichen Ausfalls einer Sicherheitsfunktion in einem PES. Diese wird primär vereinfacht über Ausfallraten und Fehlerarten enthaltener Bauteile ermittelt und durch Diagnosen gemindert (vgl. IEC 61508-2).

In verteilten PES können Funktionsblockdiagramme prinzipiell zur vereinfachten Ermittlung der Ausfallwahrscheinlichkeit einer verteilten Sicherheitsfunktion genutzt werden. Dabei repräsentiert ein Funktionsblock die Ausfallwahrscheinlichkeit einer beteiligten PE-Komponente. Diese Betrachtung muss zusätzlich Fehler mit gemeinsamer Ursache und die Restbitfehlerwahrscheinlichkeit des Kommunikationskanals berücksichtigen.

Die Datenverfälschung kann in der Theorie durch die erläuterten Maßnahmen (Tabelle 2) nicht vollkommen vermieden, sondern nur abgemindert werden. Die noch existierende Restfehlerrate des Übertragungskanals muss daher berechnet werden. Die Art der Maßnahmen gegen Verfälschung ist dabei ausschlaggebend für den erreichten Wert der Restfehlerrate. Hierfür werden sogenannte Hash-Funktionen verwendet, z.B. CRC-Prüfung und Nachrichtenwiederholung. Dabei darf der Kommunikationskanal nicht dieselbe Hash-Funktion wie die übergelagerte Sicherheitskommunikationsschicht verwenden, z.B. bei CRC nicht das gleiche CRC-Polynom.

Da auf das Bussystem als zentrales Verbindungsglied besonders Verlass sein muss, hat sich die Profibus-Nutzerorganisation auf max. 1 % Teilfehlerrate (Bild 4) in Bezug auf das Gesamtsystem geeinigt.

Die Restfehlerrate Λ_SL^(Pe) errechnet sich nach der Formel:

Λ_SL^(Pe) = R_SL^(Pe) × v × m

Pe: Bitfehlerwahrscheinlichkeit des Übertragungskanals (Default = 10^-2).
R_SL^(Pe): Restfehlerwahrscheinlichkeit des überlagerten Mechanismus zur Datensicherheitsintegrität.
v: Maximale Anzahl von Sicherheitsnachrichten pro Stunde.
m: Maximale Anzahl von Informationssenken, die in einer einzelnen Sicherheitsfunktion zugelassen sind.

Ein besonderes Problem in der Praxis ist, dass es kaum belastbare Nachweise für Bussysteme mit Bitfehlerwahrscheinlichkeiten über 10^-2 gibt. Dadurch steigen die erforderlichen externen Maßnahmen stark an, wenn eine geringe Restbitfehlerrate erforderlich ist.

Fehler gemeinsamer Ursache

Fehler mit gemeinsamer Ursache (Common Cause Failure, CCF) müssen bei einem verteilten System gesondert betrachtet werden, da die Auswirkungen beliebige Kombinationen verschiedener PE-Komponenten und deren Kommunikation betreffen können. Beispiele sind gemeinsame Spannungsversorgung, Über- und Unterspannungen, EMV oder fehlerhafte Bauteil-Chargen. Wenn keine besonderen Maßnahmen ergriffen werden, kann ein CCF von 10 % (0,1 als konservativer Wert) angenommen werden (IEC 62061, Anhang F), der durch zusätzliche Maßnahmen, z.B. die Überwachung der Umgebungstemperatur, noch verbessert werden kann.

Die Hinweise und Quellen in diesem Artikel geben Anhaltspunkte zum Entwurf, zur Implementierung und zum Nachweis funktionaler Sicherheit in verteilten Sicherheitsfunktionen. Die Anforderungen sind oft nicht konzentriert in einer Norm vorhanden und meist interpretierungsbedürftig. Hier helfen die frühzeitige Berücksichtigung der genannten Aspekte und die Absprache mit dem Zertifizierungspartner, um nicht am Ende der Entwicklung unerwartete Nacharbeiten zu riskieren.

Literatur

[1] Wratil, P.; Kieviet: Sicherheitstechnik für Komponenten und Systeme. Hüthig, Heidelberg, 1. Auflage, 2007. S. 40ff.

[2] Coulouris, G.; Dollimore, J.; Kindberg, T.: Distributed Systems: Concepts and Design. Addison-Wesley Longman, Amsterdam. 4. Auflage, 14. Juni 2005.

[3] Pimentel, J. R.: Safety-Reliability of Distributed Embedded System Fault Tolerant Units. Kettering University. pdf">

[4] DIN EN 61784-3 Industrielle Kommunikationsnetze - Profile. Teil 3: Funktional sichere Übertragung bei Feldbussen - Allgemeine Regeln und Profilfestlegungen (IEC 61784-3:2010). Deutsche Fassung EN 61784-3:2010.

Der Autor

Jobangebote+ passend zum Thema

MACNICA ATD EUROPE - Ihre berufliche Zukunft

MACNICA ATD Europe GmbH, Ingolstadt

Alle Jobangebote im Elektroniknet Karrierebereich anzeigen

Olaf Winne
hat mehr als 20 Jahre Erfahrung in der Hard- und Software-Entwicklung von Embedded-Systemen in verschiedenen Branchen gesammelt. 2003 gründete er die Firma Quategra GmbH und führte Schulungen und projektbegleitende Workshops durch, insbesondere in den Bereichen sicherheitsgerichtete Entwicklung und Software-Architektur. Seit 2010 ist er Geschäftsführer der Lamtec Leipzig GmbH & Co. KG und leitet die Entwicklung von Mess- und Regeltechnik für feuerungstechnische Anlagen.

Olaf Winne

hat mehr als 20 Jahre Erfahrung in der Hard- und Software-Entwicklung von Embedded-Systemen in verschiedenen Branchen gesammelt. 2003 gründete er die Firma Quategra GmbH und führte Schulungen und projektbegleitende Workshops durch, insbesondere in den Bereichen sicherheitsgerichtete Entwicklung und Software-Architektur. Seit 2010 ist er Geschäftsführer der Lamtec Leipzig GmbH & Co. KG und leitet die Entwicklung von Mess- und Regeltechnik für feuerungstechnische Anlagen.