Az elektronikus vezérlések egyre fontosabb szerepet játszanak, legyen szó az autóban, az iparban, a háztartásban vagy akár az emberi testben történő használatukról. Ami eddig mechanikus csatlakozóval volt összekötve, ott ma érzékelők, vezérlőeszközök, jelfolyamok vagy rádióhullámok és elektromos működtetőelemek találhatók. A működési biztonságot korábban a mechanikai kialakítás és a megfelelő méretezés biztosította. És ma?

Az emberi élet és az egészség védelme érdekében, a programvezérelt elektronikának bizonyíthatóan valós időben kell észlelnie a hibákat, és hiba esetén egy meghatározott időn belül biztonságos állapotot kell létrehoznia. Ezt az IEC 61508 szabványhoz kapcsoló valamennyi szabvány megköveteli. A biztonsági vonatkozású, jellegzetes alkalmazások például a liftek, fűtések égővezérlései, légzsákok, „X-by-wire" alkalmazások stb. Ezeket a hiba esetén bekövetkező kár mértéke alapján kockázati osztályokba sorolták, amelyeket – a vonatkozó szabványtól függően – pl. Safety Integrity Level (SIL) vagy Performance Level néven emlegetünk.

Valamennyi szabványra vonatkozik: a bennük megfogalmazott követelmények teljesítése érdekében, először is egy olyan biztonsági funkcióra van szükség, amely megbízhatóan megállapítja a hibák bekövetkezését. Legfőképpen stratégiára, amely hiba esetén, meghatározott időn belül biztonságos állapotba állítja a rendszert. Ezzel párhuzamosan egy matematikai megbízhatósági modellt kell felállítani, amellyel kiszámítható a rendszer meghibásodásának valószínűsége és a biztonsági funkció megbízhatósága. Az idevágó szabványok, mint pl. az IEC 61508 vagy az abból származtatott szabványok, úgymint az ISO 13849 iparágak szabvány, bizonyos minimális értékeket követelnek meg a biztonsági funkció megbízhatósága érdekében. Ennek betartását egy tanúsítóhatóságnál (pl. TÜV) igazolni kell.

A matematikai megbízhatósági modellekhez szükség van a rendszerösszetevők meghibásodási arányainak értékeire (FIT – Failure in Time), valamint az öndiagnosztika tesztelésére, hogy a meghibásodásokat egyáltalán észlelni lehessen. A meghibásodási arányok tapasztalati értékei pl. megtalálhatók a Siemens SN 29500 szabványában. Ezeket az alkatrészgyártók bocsátják rendelkezésre. A rendszer matematikai megbízhatósági modellje ebből határozza meg azokat az adatokat, amelyekkel dokumentálható a szabványok által megkövetelt biztonság a tanúsítóhatóság számára.

A fejlesztők számára a kihívás abban rejlik, hogy megbízható adatokhoz jussanak a FIT-arányok és a diagnosztikai lefedettség vonatkozásában. Memóriateszt például sokféle van, de vajon az összes lehetséges memóriahiba hány százaléka észlelhető? És ez hogyan igazolható? Néhány mikrovezérlő-gyártó időközben már eleget tett ezeknek a követelményeknek, és támogatást is nyújt:

Renesas Safety-Ecosystem

A Renesas a 32 bites RX631/N mikrovezérlő-gyártási sorozathoz kifejlesztett egy, a TÜV Rheinland által az IEC 61508 szabvány szerint tanúsított öntesztkönyvtárat. Ez az öndiagnosztika lefedi a véletlenszerű, állandó hibákat a processzormagban, beleértve a lebegőpontos egységet és a DSP-bővítést is, a felhasználói RAM-ban és a flash-memóriában. Ezeknek a funkcionális egységeknek a diagnosztikai lefedettsége ezért nagyobb, mint 90%. A tesztek futtatása történhet ciklikusan, blokkban vagy a futásidő alatt, időben eltolva. Mindössze egyetlen RX631/N segítségével elérhető a SIL2. A SIL3 eléréséhez két chipből álló rendszer szükséges. A könyvtárhoz a Renesas biztonsági kézikönyvet és biztonsági szoftverkézikönyvet is mellékel. Az ingyenes próbalicenc betekintést nyújt a könyvtárba, mielőtt valaki megvásárolja azt.

Az RX gyártási sorozat Safety-Ecosystem rendszere tartalmazza még az IAR IEC 61508 szabvány szerint tanúsított fordítóprogramját, az EWRXFS-t. A Renesas is ezzel fejlesztette ki a saját öntesztkönyvtárát. A hajtásrendszer-specialista, Wittenstein ezen túlmenően, a SAFERTOS termékével egy tanúsított, valósidejű operációs rendszert is kínál a Renesas RX gyártási sorozatú mikrovezérlőihez.

Az ilyen előzetesen tanúsított szoftverek alkalmazása jó alapot szolgáltat a végeszköz tanúsítására, és egyben lerövidíti a fejlesztés idejét. A biztonsági kézikönyv igazolja a FIT-arányokat, és különálló funkcionális egységekre bontja a chipet. Ezáltal pontosan összehangolható a megbízhatósági modell. A már elfogadott alkatrészek csökkentik a tanúsítóhatósággal megvitatandó kérdések számát. Mindez hozzájárul a piacra kerülési idő lerövidítéséhez.

A processzor szoftveröntesztje helyett a Renesas V850E/P és RH850/P családjában kétmagos processzorokat alkalmaznak, amelyek szinkronban (lockstep) dolgozzák fel ugyanazt a kódot. A számítási eredményeket összehasonlítják és a különbségek hibaként kerülnek regisztrálásra. A V850/RH850 főbb alkalmazási területe éppen ezért a járműipar.

Infineon PRO-SIL™: biztonsági megoldások járműipari és ipari alkalmazások számára

Az Infineon PRO-SIL™ néven teljes termékpalettát kínál, amely mikrovezérlőből, tápellátó integrált áramkörökből, érzékelőkből, háromfázisú meghajtókból, valamint az ehhez tartozó szoftverből és dokumentációból (FMEDA safety manual = Failure Mode, Effects and Diagnostics Analysis) áll. A fejlesztés szervezése és folyamatai, illetve a hardver és a szoftver auditálása az ISO 26262 alapján történik.

A PRO-SIL™ termékcsalád legfiatalabb tagja az AURIX™ család, amely biztonsági szoftvert és ahhoz illő, TLF35584 tápellátást tartalmaz. Olyan rendszermegoldást tesz lehetővé, amellyel a felhasználó egyszerűbben képes megvalósítani és tanúsíttatni a biztonsági szempontból kritikus alkalmazásokat. Alkalmazási területe a klasszikus járműipari alkalmazásoktól, a szállítási rendszereken, pl. vonatokon, buszokon, illetve mezőgazdasági vagy építőipari haszonjárműveken keresztül egészen a biztonsági szempontból kritikus, ipari alkalmazásokig terjed.

Az AURIX™ családban nagymértékben állítható a memória számítási teljesítmény és csomag tekintetében. Csekély áramfelvétellel és optimalizált biztonsági koncepcióval rendelkezik. Az esetleges hibák időben történő felismerése érdekében, a számítást végző magok a háttérben biztonsági maggal rendelkeznek, amely a számításokat 2 ütemmel eltolva, párhuzamosan dolgozza fel, majd összeveti az eredményeket. Mivel számos biztonsági funkció a hardverben került megvalósításra, az Infineon nagymértékben képes volt csökkenteni a felhasználói szoftverköltségeket.

Jelenleg a TÜV SÜD biztonsági tanúsítványt készít az ISO 26262 szabvány alapján. További tanúsítványokat terveznek, többek között olyan átfogó szabványok szerint, mint az IEC 61508, vagy akár specifikus szabványok alapján, mint például a mezőgazdasági járművekre vonatkozó ISO 25119 szabvány.

STMicroelectronics: kétmagos mikrovezérlő ASIL D-alkalmazásokhoz

Az STMicroelectronics kifejezetten a járműiparban használt biztonsági alkalmazásokhoz fejlesztette ki a tanúsítvánnyal is rendelkező, kétmagos SPC56 L mikrovezérlő-családot, mind az IEC 61508 és az ISO 26262 biztonsági szabványok figyelembevételével. Ez két nagy teljesítményű maggal és akár 2 MiB flash-memóriával, 192 kiB belső RAM-mal, három CAN-interfésszel, valamint optimalizált perifériával rendelkezik, biztonsági és motorvezérlési alkalmazásokhoz. A kétmagos felépítésnek köszönhetően rendszerszinten kevesebb alkatrészt kell duplán biztosítani, ami csökkenti a rendszer költségét. Ezenkívül a felépítés nagy rugalmasságot kínál a felhasználónak, mivel választást kínál a lockstep és a parallel processing mód között. Ugyanannak a kódnak az egyidejű feldolgozása mindkét magban (lockstep) maximális biztonságról gondoskodik, a különböző programkódok feldolgozása (parallel processing) pedig a lehető legnagyobb számítási teljesítményt célozza meg.

Mivel nem csupán a processzor funkciói kettőzték meg, hanem további redundanciákat is beépítettek a chipbe, az SPC56 L termékcsalád biztonsági koncepciója túltesz a megszokott feltételeken. Egy automatikus hardverdiagnosztikán kívül olyan további biztonsági funkciók érhetők el, mint a CRC-egység, memória ECC-vel, hőmérséklet-érzékelő, központi zavarérzékelő és vezérlőegység, feszültség- és ütemkimaradás-észlelés. Egy független tanúsítóhatóság vizsgálata szerint, az SPC56 L termékcsalád így teljesíti a legmagasabb követelményeket támasztó ASIL-fokozat, az ASIL D előírásait.

A 32 bites járműipari mikrovezérlő, az SPC56 L termékvonal az SPC56 termékcsaládhoz tartozik, amelyet a járműipari hajtások, a karosszéria, a futómű és a biztonság területén alkalmaznak. Valamennyi termék a 32 bites, a nagy teljesítményű architektúrával rendelkező e200 magján alapul, amely beépített flash-memóriával és felhasználásra optimalizált perifériákkal rendelkezik.

Microchip Safety Software Library

A Microchip 8 bites, 16 bites és 32 bites mikrovezérlők számára kínálja a Class B Safety Software Libraryt. Ez ún. API-kkal rendelkezik, amelyek felismerik a hibás működést, növelik az alkalmazás biztonságát. Segítséget nyújtanak a fejlesztő számára, hogy megvalósítsa az alkalmazását az IEC 60730 szabvány elvárásainak megfelelően. Az alkalmazás biztonsági igényeihez mérten egy sor teszt áll rendelkezésre a megvalósítás céljából: CPU regisztertesztek, programszámláló tesztek, változtatható memóriatesztek, nem változtatható memória­tesztek (Flash/EEPROM), megszakítástesztek és óratesztek.

A különböző gyártók ilyen, előzetesen tanúsított építőelemei lerövidítik a fejlesztési és tanúsítási fázist. Ezek szoftverkönyvtárak vagy egymást kölcsönösen felügyelő processzorok segítségével megcélozzák a mikrovezérlők diagnosztikai lefedettségét. A dokumentációkban megtalálhatók a megbízhatósági modellekhez szükséges paraméterek. Előfeltétel azonban annak meghatározása, hogy a kapcsolásnak milyen biztonsági követelményeket kell teljesítenie. Mindenekelőtt azonban fel kell mérni, hogy a gyártói csomag optimálisan teljesíti-e az önállóan támasztott követelményeket.

A Rutronik Elektronische Bauelemente GmbH honlapja