Von Automotive lernen
MicroSys: Moderne Architekturen für Aufzugsteuerungen
Zeitgemäße Aufzugsteuerungen verbinden die Sicherheits- mit der modernen Kommunikationswelt. Das stellt hohe Anforderungen an die eingesetzte Hardware-Architektur. Die Lösung liegt in einer Plattform, die bereits in Automotive-Umgebungen zum Einsatz kommt.
Die zunehmende Digitalisierung in Unternehmen und öffentlichen Infrastrukturen setzt eine hohe Anzahl vernetzter Geräte voraus. Geräte der Informationstechnik (IT) und der Betriebstechnik (OT) müssen über ausreichend digitale Schnittstellen verfügen, um Daten untereinander und über die Cloud auszutauschen. Das betrifft die Infrastrukturen verschiedener Branchen wie industrielle Automatisierung, Automotive, Transportwesen, Logistik oder Medizintechnik. Aber auch in Bereichen wie der Gebäudetechnik hält die Vernetzung immer mehr Einzug.
Gerade in Aufzugsteuerungen spielen digitale Elemente wie moderne Human Machine Interfaces (HMIs) zur Benutzerinteraktion eine immer größere Rolle. Sie stellen Komfortfunktionen wie Spracheingabe bereit und ermöglichen die vorausschauende Wartung (Predictive Maintenance) der Aufzüge, die zunehmend mithilfe künstlicher Intelligenz (KI) stattfindet.
Damit entwickeln sich OT-Geräte wie Aufzugsteuerungen weg von konventioneller Technik und hin zu sicherheitskritischer, vernetzter Infrastruktur. Mit dem Mehr an digitalen Bausteinen steigen die Anforderungen an die eingesetzte Technologie, speziell an die Embedded-Module, die das Herzstück einer jeden Steuerung bilden.
Der Aufzug als »Vertical Software-Defined Vehicle«
Mit dem Trend der zunehmenden Vernetzung stehen Aufzüge vor einer ähnlichen Herausforderung wie Automobile vor etwa fünf Jahren: Viele einzelne Steuergeräte erfüllen zwar ihre jeweilige Funktion, verhindern jedoch eine ganzheitliche, skalierbare Systemarchitektur. Die Herausforderungen reichen von der Integration funktionaler Erweiterungen wie Touch-HMIs über unterschiedliche Innovationszyklen der einzelnen Komponenten bis hin zur zunehmenden Vernetzung für Smart-Building-Funktionen oder das Flottenmanagement. Hinzu kommt, dass verschiedene Zulieferer Komponenten wie Antriebe oder HMIs parallel weiterentwickeln, was zu einem Wildwuchs an unterschiedlichen Geräten führt. Entwickler müssen diesen Wildwuchs konsolidieren und in eine Gesamtsteuerung einbinden.
Allerdings bewegen sich Personenaufzüge heutzutage im Spannungsfeld zweier grundsätzlich unterschiedlicher Welten: der dynamischen IT- und der strikt regulierten OT-Welt. Während die IT meist schnell, datengetrieben und vernetzt arbeitet, etwa mit regelmäßigen Software-Updates, funktioniert die OT-Welt deterministisch sowie sicherheits- und normgetrieben, etwa mit Notbrems- und Fangsystemen. Somit treffen hier kurze Innovationszyklen, die hohe Rechenleistungen fordern, auf harte Echtzeitanforderungen mit deterministischem Verhalten. Wenn Entwickler beide Welten auf einer monolithischen Architektur zusammenbringen wollen, führt das meist zu erheblichen Problemen, die im Sicherheitsfall sogar schwerwiegende Folgen haben können. Aus diesem Grund empfiehlt es sich, IT- und OT-Domäne hardwareseitig zu trennen.
Jobangebote+ passend zum Thema
Anstelle vieler einzelner funktionsspezifischer Steuergeräte übernehmen in einer gemeinsamen Architektur leistungsstarke Zonen- und Domain-Controller das Bündeln von Funktionen innerhalb klar definierter Systembereiche. So lassen sich in klassischen Aufzugsteuerungen beispielsweise separate Steuergeräte für Antrieb und Bremse, HMI und Anzeige sowie Kommunikation und Diagnose etablieren. Zonen- und Domain-Controller fassen einzelne Funktionen jeweils zu logischen Bausteinen zusammen und trennen die IT- von der OT-Welt.
Die Architektur-Lücke: Das Mixed-Criticality-Problem
In monolithischen Steuerungsstrukturen stoßen sicherheitskritische OT-Funktionen auf IT-nahe Funktionen wie HMI- und Cloud-Connectivity. So können beispielsweise harmlose Software-Updates wichtige Sicherheitsfunktionen lahmlegen. Zudem lassen sich monolithische Architekturen nur schwer auf die jeweilige Marktanforderung skalieren, und ebenso erfordert die Wartung, die Fehlersuche und das Einbringen von Updates einen großen Aufwand. Aus diesem Grund eignen sich monolithische Strukturen nur noch unzureichend für moderne Personenaufzugsteuerungen.
Klassische speicherprogrammierbare Steuerungen (SPS), Mikrocontroller (MCUs) oder reine Industrie-PCs sind hinsichtlich der KI-Rechenleistung begrenzt, unterstützen oft keine modernen Software-Stacks und lassen sich nicht ausreichend skalieren. Industrie-PCs sind zudem nicht ausreichend echtzeitfähig und zertifiziert und bieten eine große Angriffsfläche für Cyber-Angriffe.
Entwickler sollten daher einem heterogenen Computing-Ansatz folgen, bei dem sie zwei spezialisierte Rechen-Domänen gemeinsam integrieren, welche die IT- und OT-Welt unterstützen. Eine sogenannte Safety-Domäne ist dabei für alle sicherheitskritischen Funktionen wie Notbremse, Türüberwachung, Geschwindigkeitsregelung oder Fehlererkennung zuständig, eine Applikationsdomäne hingegen überwacht die Visualisierung, die Cloud- und Gebäudeanbindung sowie die Datenanalyse und Diagnosefunktionen. Entscheidend ist dabei, die beiden Domänen physisch zu trennen, sie jedoch untereinander kommunizieren zu lassen (Bild 1).
Dieses Prinzip ist allerdings nicht neu, sondern wird in Branchen wie Automotive oder industrieller Automatisierung schon seit einigen Jahren eingesetzt. So lassen sich beispielsweise in der Safety-Domäne Automotive-MCUs mit Lockstep-Kernen nutzen. Für die Applikationsdomäne können sich Entwickler dagegen auf SoCs mit Multicore-Architekturen und KI-Beschleunigern verlassen.
Dieses Architekturprinzip greift der NXP-Gold-Partner MicroSys Electronics mit seinen System-on-Modules (SoMs) auf und stellt damit eine Hardware-Basis für moderne Personenaufzugsteuerungen bereit. Kunden bekommen hierbei nicht nur das Modul: MicroSys unterstützt bei Bedarf auch mit der Entwicklung kundenspezifischer Carrier-Boards, um die Integration in die jeweilige Steuerungsumgebung zu beschleunigen. Das SoM miriac MPX-i.MX95 beispielsweise eignet sich als Applikationsdomäne, während das miriac MPX-S32G399A als Sicherheits-Domäne fungiert.
Applikationsdomäne: Das Gesicht nach außen
Mit dem integrierten i.MX95-Prozessor von NXP Semiconductors kann das miriac MPX-i.MX95 KI-Aufgaben an der Edge verarbeiten, als Security-Gateway fungieren und sämtliche HMI-Funktionen des Aufzugs steuern (Bild 2). Die i.MX95-CPU arbeitet mit sechs Cortex-A55-Kernen mit bis zu 2 GHz Taktfrequenz sowie je einem echtzeitfähigen Arm-Cortex-M7-Kern mit 800 MHz und -M33-Kern mit bis zu 333 MHz. Applikations- und Kommunikationsfunktionen lassen sich in den Cortex A55-Kernen abbilden, während zeitkritische Aufgaben in den Cortex M7/M33-Kernen deterministisch ausgeführt werden können – eine typische Aufteilung für moderne Embedded-Systeme.
Die integrierte Arm-Mali-G310-2D/3D-GPU mit OpenGL- und Vulkan-Support ist für die Grafik des HMI zuständig und stellt sicher, dass die Anzeige- und Bedienelemente richtig dargestellt werden. Hinzu kommt die integrierte eIQ-Neutron-N3-1024S-NPU, die bis zu 2 TOPS (Trillion Operations per Second) liefert und damit die Effizienz der Steuerung deutlich erhöht: Liefen früher KI-Algorithmen oft gleichzeitig mit Grafikanwendungen in der GPU, entlastet die NPU im i.MX95 den Grafikkern und sorgt dafür, dass Anzeigeelemente jederzeit flüssig dargestellt und gleichzeitig KI-Aufgaben mit hoher Rechenleistung ausgeführt werden (Bild 3). Hierbei nutzt die NPU angeschlossene Kameras nicht nur zum Überwachen, sondern auch zur Analyse wie etwa Zählen von Personen oder Erkennen von Stürzen oder Vandalismus.
Um eine flüssige Verarbeitung der Daten zu gewährleisten, verfügt das Modul über 16 GB LPDDR5-Speicher mit bis zu 6,4 GT/s (Gigatransfers per Second) sowie über ein NFC-konfigurierbares EEPROM für das Sichern von Daten wie Seriennummer oder User-Konfiguration mit bis zu 16 kB. Für Connectivity sorgen industrielle Schnittstellen wie 1x 10-Gbit-Ethernet, USB 2.0/3.0, PCIe, I3C, SPI, UART sowie MIPI-CSI. Das Modul ist in den Maßen 82 mm x 35 mm ausgeführt und für den industriellen Temperaturbereich von -40 bis +85 °C ausgelegt. Hinzu kommt die Arm-TrustZone-Architektur, mit der das Modul auch als Security-Gateway fungieren kann, als Firewall zur Cloud dient sowie die dahinterliegende Steuerung schützt.
Dank der umfangreichen Video-, Audio- und Kameraschnittstellen eignet sich das miriac MPX-i.MX95 zum Steuern der Kommunikation über ein HMI: Es zeigt Nutzern beispielsweise das ausgewählte und aktuelle Stockwerk sowie weitere Infos wie Uhrzeit und Datum oder Notrufunktionen an, hat jedoch keine wesentliche Sicherheitsrelevanz. Stürzt das Display ab, fährt der Aufzug jederzeit bis zur ausgewählten Position weiter und bringt die Insassen sicher ans Ziel.
Safety-Domäne: Der Fels in der Brandung
Neben dem miriac MPX-i.MX95 als Applikationsdomäne arbeitet das miriac MPX-S32G399A als Safety-Domäne (Bild 4) in Aufzugsteuerungen. Es ist für die Sicherheit der Fahrgäste zuständig und von der Applikationsdomäne isoliert, damit sich die beiden gegenseitig nicht negativ beeinflussen. Das miriac MPX-S32G399A beruht auf der S32G399A-CPU von NXP, die mit acht Arm-Cortex-A53-Kernen sowie vier Arm-Cortex-M7-Dualcore-Lockstep-Paaren arbeitet. Unterstützt werden die Kerne von gelötetem 4 GB LPDDR4-RAM, 64 MB QSPI-Flash und bis zu 32 GB eMMC-Speicher.
Die CPU nutzt dedizierte Safety-Islands statt reiner Softwarelösungen. Im Lockstep-Betrieb rechnen zwei parallel geschaltete Kerne zeitgleich dieselbe Aufgabe; weichen ihre Ergebnisse auch nur um ein Bit voneinander ab, erkennt das System den Fehler sofort und leitet den sicheren Zustand ein (Fail-Safe, Bild 5). Damit lassen sich zufällige Hardwarefehler (z.B. Bitfehler) früh erkennen; im Fehlerfall kann die Steuerung eine definierte Sicherheitsreaktion auslösen, etwa den sicheren Stopp bzw. das Einleiten eines sicheren Zustands.
Darüber hinaus verfügt das Modul über Kommunikationsschnittstellen wie bis zu 3x 2,5-Gbit-Ethernet oder auch bis zu 4x 1-Gbit-Ethernet, PCIe, 4 SerDes-Lanes sowie ULPI-USB. Umfangreiche I/Os wie 4x FlexSPI, 2x UART, 18x CAN FD, 2x FlexRay, 4x LIN, 4x I2C oder GPIOs unterstützen die Kommunikation mit angeschlossener Peripherie. Die integrierte Hardware Security Engine (HSE) sorgt für sicheres Booten und beschleunigt Security-Services, die für die Aufzugsteuerung nötig sind. Das Modul ist außerdem für den erweiterten Temperaturbereich von -40 bis +85 °C ausgelegt, was den Betrieb in rauen Umgebungen ermöglicht.
Die High-Speed-I/Os garantieren Echtzeitkommunikation über CAN-FD und Time-Sensitive Networking (TSN). TSN sorgt dabei für deterministische Datenübertragung im Netzwerk: Datenpakete für den Nothalt haben im Datenverkehr immer Vorfahrt vor Diagnose- oder Videodaten. Das ermöglicht deterministische, priorisierte Kommunikation – zeitkritische Safety-Telegramme lassen sich mit garantierten Übertragungsfenstern und definierter Priorität gegenüber Diagnose- oder Videodaten übertragen. Das ist essenziell, wenn Millisekunden über die Sicherheit von Passagieren entscheiden. Ein weiterer Vorteil ist die umfangreiche Zertifizierung des S32G-Prozessors. Änderungen an der Applikation erfordern demnach keine neuen Safety-Zertifizierungen des S32G (Freedom from Interference), was zukünftige Adaptionen problemlos möglich macht.
Die kritische Schnittstelle: Wie IT und OT sicher sprechen
Beim Zusammenspiel der beiden Domänen ist zu beachten, dass die Applikationsdomäne, das miriac MPX- i.MX95, Benutzerinteraktionen und Systemdaten verarbeitet, jedoch keine sicherheitsrelevanten Entscheidungen trifft. Statt Befehle auszuführen, übermittelt es lediglich einen Wunsch, etwa dass ein Fahrgast die Tür öffnen will. Die Safety-Domäne, das miriac MPX-S32G399A, prüft diesen Wunsch anhand aller sicherheitsrelevanten Zustände und entscheidet allein, ob es die Aktion freigibt oder ablehnt.
Um die Updates und mögliche Erweiterungen zu vereinfachen, werden alle erforderlichen Software-Updates über die Applikationsdomäne im i.MX95 empfangen, geprüft und vorbereitet. Erst nachdem der i.MX95 die digitale Signatur des Update-Pakets verifiziert und dessen Integrität geprüft hat, wird es an die Safety-Domäne des S32G weitergereicht. Dabei kommen asymmetrische Kryptografie- und Signaturverfahren zum Einsatz, sodass nur autorisierte, signierte Softwarepakete des Herstellers akzeptiert werden. So ermöglichen sichere OTA-Updates (Over-the-Air) regelmäßige Aktualisierungen, ohne die zertifizierten Safety-Funktionen durch Manipulation zu gefährden.
Wenn Applikations- und Sicherheits-Domäne richtig sprechen
Ein Beispiel zeigt, wie sich Applikations- und Sicherheits-Domäne in einem Personenaufzug richtig voneinander trennen lassen. Ein Aufzug, der bisher »blind« fährt, weiß nicht, wie viele Personen vor dem Aufzug warten oder ob sich jemand im Aufzug befindet, der Hilfe benötigt. Setzt man die MicroSys-Architektur in die Aufzugsteuerung ein, ergibt sich ein neues Bild.
Als Szenario dient ein »ungeduldiger Pendler-Strom« morgens um 8:30 Uhr in einem Bürogebäude. Die Applikations-Domäne des miriac MPX- i.MX95 erfasst über eine Kamera die Wartenden in der Kabine und im Vorraum des Aufzugs und analysiert die Daten über die NPU lokal im Modul: »Fünf wartende Personen, eine davon im Rollstuhl«. Die CPU entscheidet strategisch: »Halte die Tür drei Sekunden länger offen für den Rollstuhlfahrer und priorisiere Stockwerk fünf, weil dort das Großraumbüro ist«. Zudem sendet die CPU den Wunsch an die Steuerung, die Tür länger offenzuhalten, damit alle Personen ausreichend Zeit zum Aussteigen haben. Zur gleichen Zeit versucht ein ungeduldiger Insasse, die Tür gewaltsam zu schließen, oder blockiert die Lichtschranke.
Nun passiert Folgendes in der Safety-Domäne des miriac MPX-S32G399A: Der S32G-Prozessor empfängt den Wunsch des i.MX95, die Tür länger offenzuhalten. Gleichzeitig überwacht er im Millisekundentakt die Sensoren der Türverriegelung und die Motortemperatur in Echtzeit. Nun greift er ein, weil er bemerkt, dass der Motorstrom der Tür wegen der Blockade steigt. Somit ignoriert er den »Komfort-Wunsch« der KI und löst stattdessen sofort den sicheren Reversiervorgang aus, damit die Tür wieder öffnet, um Quetschungen zu verhindern, und gibt eine Meldung zurück: »Kommando verweigert, Safety-Eingriff aktiv«.
Das Beispiel zeigt, wie Applikations- und Sicherheits-Domäne in heutigen Aufzugsteuerungen effektiv zusammenarbeiten. Mit der getrennten Hardware-Architektur von MicroSys lassen sich sowohl Komfort als auch Sicherheit der Insassen berücksichtigen.
Fazit
Wenn Entwickler Connectivity, Cloud-Anbindung oder KI-Funktionen in Aufzugsteuerungen nutzen wollen, müssen sie die sicherheitskritischen Funktionen strikt von den Komfort- und Anzeigefunktionen isolieren, um Normen und Zertifizierungen jederzeit einzuhalten. System-on-Modules von MicroSys bieten die hardwareseitige Grundlage für diese Trennung als fertige, geprüfte Architektur und bündeln Applikations- und Safety-Domänen auf einer einzigen Plattform. Aufzugshersteller nutzen diese Basis, um ihre Software-Lösungen effizient zu implementieren: Die Applikationsdomäne übernimmt HMI, Datenanalyse, KI und Kommunikation, während die Safety-Domäne alle kritischen Steuerungsfunktionen deterministisch überwacht.
Durch den Einsatz der System-on-Modules werden Systemintegratoren und Hersteller in die Lage versetzt, die komplexe Integration von Hardware, Software und Sicherheitsmechanismen zu vereinfachen. Das Ergebnis ist ein System, das sowohl Innovation und Flexibilität ermöglicht als auch die Entwicklungszeit und das Zertifizierungsrisiko reduziert.
MicroSys Electronics auf der embedded world 2026: Halle 3, Stand 158
Lesen Sie mehr zum Thema
