Mikrocontroller im Fahrzeug „Dependable Computing“ – ein Marketing-Gag?

Zwei Aurix-Generationen gibt es schon, an der dritten wird derzeit gearbeitet.

„Dependable Computing“ klingt zunächst einmal wie ein Schlagwort, das die Marketing-Abteilung kreiert hat.

Doch Peter Schäfer, Leiter des Mikrocontroller-Geschäfts in der Automotive Division von Infineon, erklärt im Gespräch mit der Markt&Technik, dass dieser Begriff deutlich mehr ist und für den Erfolg von Aurix steht.

Markt&Technik: Infineon spricht im Zusammenhang mit Domänen- und Zonenarchitekturen im Fahrzeug häufig von Dependable Computing. Klingt stark nach Marketing …

Peter Schäfer: Ist es aber nicht, denn der Begriff fasst drei Segmente zusammen, die den Unterschied von Aurix zu konkurrierenden Produkten ausmachen. Zum einen sind die Aurix-MCUs der 2. Generation, also die TC3xx-Familie, weltweit die ersten Embedded-Sicherheitscontroller, die eine Zertifizierung für das höchste funktionale Sicherheits-Level im Auto, sprich ASIL D, nach der jüngsten Fassung der ISO-Norm 26262 erhalten haben – ausgestellt durch den SGS TÜV Saar.

Das war ursprünglich gar nicht geplant, denn als Infineon verfügen wir über einen anspruchsvollen Safety-Prozess, der bei der Entwicklung anfängt und bei einem internen Audit endet. Aber manche Kunden wollten eine externe Zertifizierung. Also haben wir unsere Aurix-MCUs der 2. Generation dem SGS TÜV Saar vorgelegt und sie zunächst nach den Vorgaben der ISO 26262:2011 zertifizieren lassen. Seit Dezember 2018 gibt es aber eine neue Fassung der ISO 26262, die weltweit ein verbindliches Vorgehen für die Entwicklung und Produktion sicherheitskritischer Systeme im Automobil beschreibt und die ursprüngliche Fassung von 2011 ersetzt. Und dann haben wir den TÜV gefragt, wie eine Zertifizierung nach ISO 26262:2018 ausschaut, und auch die haben die TC3xx-Controller bestanden. Das zeigt, dass die Aurix-Controller auf einem sehr robusten, holistischen Safety-Konzept basieren, das sogar die Elemente, die neu dazugekommen sind, abdeckt.

Und das umschreibt „Dependable Computing“?

Nein, weil wir der Überzeugung sind, dass ASIL D nur eines von mehreren wichtigen Themen ist. ASIL D kommt ursprünglich aus Deeply-Embedded-Anwendungen im Fahrzeug wie Bremse, Lenkung oder Airbag. Da sind die Funktionen sehr klar definiert, aber unsere Aurix-Controller werden auch für die Sensorfusion, in zentralen Gateways oder als Domänen- bzw. Zonen-Controller genutzt. Und da ist es wichtig, dass das Safety-Konzept deutlich weiter gefasst wird, sprich: eine ASIL-D-Konformität nicht mehr nur auf eine bestimmte begrenzte Funktionalität beschränkt sein darf. Wir haben ein Safety-Manual für die Kunden, in dem sie sehen können, welche Funktionalitäten sie alle nutzen können, um ASIL-D-Konformität zu erreichen. Das ist möglich, weil Aurix für viele Anwendungsbereiche entwickelt wurde.

Aber wie gesagt, ASIL D ist nur ein Punkt, der entscheidend ist. Darüber hinaus sind die Aurix-Controller auch sehr robust, und das zeigen verschiedene Faktoren. Wir sind seit Jahrzehnten im Automotive-Markt tätig und haben Ausfallraten im niedrigen ppm-Bereich, das heißt, dass eine Ausfallwahrscheinlichkeit im Feld sehr gering ist. Zu „robust“ gehört aber auch, eine gute Antwort auf die Frage zu haben: Wie schaffe ich es, dass ein System, falls ein Fehler auftritt, sehr schnell wieder funktionsfähig ist? Auch in dieser Hinsicht zeichnen sich die Aurix-Controller durch eine hohe Robustheit aus, denn wir haben sehr schnelle Interrupts und eine sehr schnelle Reset-Funktionalität implementiert.

Das heißt: Die Verfügbarkeit ist also auch hoch.
Und zur Verlässlichkeit gehört auch, dass die Hersteller ihre Entwicklungszeiten und Produktpläne einhalten. Dafür ist Infineon bekannt. Für Automotive-Player, Tier-Ones oder OEM, ist dieser Punkt entscheidend, denn sie starten ihre Entwicklungen bereits ein/zwei Jahre, bevor die Hardware da ist. Es wäre fatal, wenn dann die Hardware nicht zum vereinbarten Zeitpunkt vorliegt oder nur eine eingeschränkte Funktionalität hat.

Unter Dependable Computing verstehen wir also die Kombination aus hoher Verfügbarkeit, großer Robustheit und höchster Zuverlässigkeit. Und nachdem die Aurix-Controller alle Punkte erfüllen, werden sie in Systemen, die eine noch höhere Rechenleistung erfordern, oft auch als „Last Man Standing“ genutzt. Prozessoren, die typischerweise eben nicht diese hohe Verfügbarkeit, Zuverlässigkeit und Robustheit aufweisen, werden durch unsere Controller ergänzt. Und im Falle eines Prozessorausfalls übernimmt Aurix dann ein Subset an Funktionalitäten und führt diese weiter aus.

Safety ist im Fahrzeug aber nur ein wichtiges Thema. Wie verträgt sich das mit den Security-Ansprüchen, die mittlerweile immer stärker in den Vordergrund rücken? Besteht hier ein Widerspruch in sich?

Nein, Safety und Security widersprechen sich ganz und gar nicht. Es gibt kein System, das „safe“ ist, wenn es nicht auch „secure“ ist. Außerdem sind die Entwicklungsprozesse in beiden Fällen sehr ähnlich. Wenn ich einen Controller nach ISO-26262-Vorgaben entwickle, dann sind die Abläufe durchaus mit denen hinsichtlich der Security-Elemente vergleichbar. Das zeigt sich auch an der ISO 21434. Dieser derzeit in der Entwicklung befindliche Security-Standard weist viele ähnliche Elemente auf wie die ISO 26262.

Und noch ein Punkt, den ich immer wieder betone: die Skalierbarkeit. Die Aurix-Familie umfasst Produkte mit unterschiedlicher Leistungsstärke und Speichergröße, aber egal um welchen Baustein es sich handelt, es sind immer dieselben Prozessorkerne, Security- und Safety-Funktionen implementiert. Dies ermöglicht unseren Kunden höchste Flexibilität bei einer maximalen Wiederverwendung von Software und Sicherheitskonzepten.