Startseite > Embedded > Hardware > Mit FPGAs zur funktionalen Sicherheit

Sicherheitskritische Embedded-Systeme

Mit FPGAs zur funktionalen Sicherheit

15. Februar 2018, 15:25 Uhr | Michael Henze, Product Manager von MEN Mikro Elektronik

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 1

Fehler-Monitoring

Das Monitoring von ordnungsgemäßen Zuständen ist im sicherheitskritischen Bereich ebenfalls enorm wichtig, denn nur so können Fehlverhalten aufgedeckt und entsprechende Aktionen eingeleitet werden. Beispielsweise müssen Temperaturen, die Funktionsfähigkeit von Bauteilen oder der Empfang von Daten überwacht und analysiert werden, um bei Abweichungen von Sollwerten die Auslösung eines sicheren Zustands zu erwirken. Fertige Komponenten für den Anschluss von Ein- und Ausgabeeinheiten – wie serielle Schnittstellen oder GPIOs – enthalten jedoch nur in den seltensten Fällen solche Monitoring-Funktionen, wie sie für die funktionale Sicherheit beispielsweise nach EN 50129 für Eisenbahnen oder nach IEC 61508 für elektronische Systeme mit Sicherheitsfunktion gefordert sind.

Auch solche Funktionen lassen sich in FPGAs sehr effizient abbilden, sollte es dafür keine passenden Mikrocontroller geben. Die Integration solcher Überwachungsfunktionen in FPGAs bietet gegenüber Mikrocontrollern zudem den Vorteil, dass diese frei konfigurierbar sind und genau an die Anwendung angepasst werden können. Der Spruch „never change a running system“ ist für funktional sichere Systeme besonders wünschenswert. Zum einem sind die Aufwände für den normengerechten Nachweis der funktionalen Sicherheit hoch und bei jeder Änderung neu zu erbringen – deshalb also sehr kostenintensiv. Zum anderen besteht bei Änderungen immer das Risiko, einen neuen Fehler einzubauen. Insbesondere im Schienenverkehrswesen und der Luftfahrt werden Systeme deshalb über Jahrzehnte hinweg revisionsfrei verwendet. Damit wird auch eine Obsoleszenz-Strategie für Komponenten notwendig, da Standardkomponenten für die Industrie selten länger als 5 bis 10 Jahre verfügbar sind. Hier bieten FPGAs entscheidende Vorteile; die Funktion steckt nämlich nicht in einem dedizierten Bauteil, sondern in der Programmierung selbst. Folglich sind Bauteilabkündigungen vergleichsweise problemlos zu bewältigen, da der Code funktionsidentisch auf neue FPGAs portiert werden kann. Projektlaufzeiten von über 30 Jahren sind damit kein Problem, selbst wenn der FPGA-Hersteller gewechselt werden muss. Dadurch bietet sich außerdem auch eine Unabhängigkeit von einem bestimmten Lieferanten.

Bei FPGAs ist auch stets die Möglichkeit gegeben, weitere Funktionen nachträglich zu integrieren – also das System beispielsweise einem Upgrade zu unterziehen. Diese Flexibilität wirkt sich natürlich auch zu Beginn des Produktlebenszyklus aus: Ist ein Teil der Hardwarefunktionen in FPGAs realisiert, kann dieser Teil parallel zur weiteren Entwicklung getestet werden. Ein solches Vorgehen spart Zeit bei der späteren Inbetriebnahme und Test des Gesamtsystems.

Eine gerade im sicherheitskritischen Bereich häufig gestellte Anforderung ist auch der Support erweiterter Temperaturbereiche, meist von –40 °C bis +85 °C. Schon hier gibt es häufig Probleme, entsprechend qualifizierte Standard-Komponenten und -Bauteile zu finden. Spätestens jedoch bei einem extrem erweiterten Temperaturbereich von –55 °C bis +125 °C wird es erheblich schwieriger bis unmöglich, Komponenten für die verschiedenen Hardwarefunktionen zu bekommen. FPGAs bieten allerdings auch für diese extremen Temperaturen ein ausreichend breites Angebot.

Die wichtigste Strategie, um ein System weniger risikoanfällig zu gestalten, ist die Redundanz – also die funktionsidentische Vervielfachung wichtiger Komponenten, um den Ausfall einzelner Komponenten problemlos kompensieren zu können. Einen Baustein, der durch sein Ausfallen das komplette System lahm legt, nennt man Single Point of Failure (SPOF). Jeder wichtige Baustein kann ein solcher SPOF sein. In Anwendungen im Flugzeug sind beispielsweise Speicherfehler durch kosmische Strahlung ein Problem. Diese führen zu Effekten wie Single Event Upsets (SEU) oder Multi-Bit Upsets (MBU), bei denen ein oder mehrere Bits in Speicherelementen ungewollt von 0 auf 1 springen oder umgekehrt. Wenn nun kritische Bausteine wie eine CPU in mehrfacher Redundanz mit Voting vorhanden sind, erhöht dies die funktionale Sicherheit und auch die Verfügbarkeit. Solche Redundanzen inklusive Voting-Funktionalität kann mit FPGAs aufgebaut werden, was den Vorteil bietet, dass man diese Logik in jeder Instanz durch Copy&Paste der IP-Logik einfach kopieren kann.