Funktionale Sicherheit komplexer programmierbarer Systeme
Mit der Norm IEC 61508 wurde das Konzept der funktionalen Sicherheit eingeführt. Dieses Konzept tritt heute unausweichlich in den unterschiedlichsten Sektoren, die mit sicherheitskritischen Anwendungen zu tun haben, in Erscheinung. Die Normenvielfalt ist sehr breit und stellt Anwender, vor allem wenn rekonfigurierbare Systeme eingesetzt werden, vor Herausforderungen:
- Nuklearindustrie: IEC 61513
- Prozessindustrie: IEC 61511
- Eisenbahnsektor: CENELEC EN 50126, EN 50128, EN 50129
- Automotive: ISO 26262
- Maschinenindustrie: ISO 13849, IEC 62061.
Typischerweise fordern die Normen einerseits das Einhalten eines vollständigen Lebenszyklus-Prozesses für Systeme, von der Konzeptphase über die Risikoanalyse bis zur Ausserbetriebnahme, andererseits werden Anforderungen an sicherheitskritische Funktionen in Form eines Sicherheitsintegrität-Levels gestellt (SIL, ASIL, PL, …).
Wir befassen uns intensiv mit Fragestellungen zur Anwendung des Konzepts der funktionalen Sicherheit und unterstützen Sie gerne in Ihren Projekten.
Rekonfigurierbare Logik
Durch den rasanten technologischen Fortschritt im Bereich elektronischer, programmierbarer Systeme ist es heute möglich komplexe und dynamische Prozesssteuerungen in hochintegrierten und rekonfigurierbaren Systemen zu implementieren. Der Einsatz von beispielsweise FPGA mit eingebetteten Power-PC Cores, DSP-Slices oder ARM Cortex Dual-Core Prozessoren, wie der Xilinx ZYNQ-7000 Serie, erlaubt es, hoch performante generische Hardware-Plattformen zu entwickeln, die sich durch Anpassungen der Firmware und Software für nahezu jede Aufgabe rekonfigurieren lassen.
Für den Einsatz solcher generischer Hardware-Plattformen in sicherheitskritischen Anwendungen sprechen neben den ökonomischen auch technische Vorteile, wie die Möglichkeit höhere Diagnosedeckungsgrade zu erreichen. Damit die programmierbaren Systeme für sicherheitskritische Anwendungen zugelassen werden, müssen sie stringente und komplexe Anforderungen erfüllen.
Normen liefern hier nur teilweise eine geeignete Wegleitung und hinken dem effektiven Stand der Technik oft hinterher: In IEC61508-2:2010 werden zum Beispiel besondere Architekturanforderungen für integrierte Elektronik-Komponenten mit On-Chip-Redundanz und Verfahren und Massnahmen zur Vermeidung von Fehlern während Entwurf und Entwicklung erläutert, deren Konkretisierung und Umsetzung jedoch alles andere als trivial sind.
Die Forschung befasst sich stetig mit dem Einsatz rekonfigurierbarer Komponenten wie FPGAs und CPLDs in sicherheitskritischen Anwendungen. Zentral sind in dem Kontext die Fehlermodi dieser Komponenten. Einerseits müssen strahlungsinduzierte Fehlermodi betrachtet werden, wie:
- Single-Event Transient (SET)
- Single-Event Upset (SEU)
- Single-Event Latch-Up (SEL)
- Single-Event Function Interrupt (SEFI)
Dem gegenübergestellt werden Massnahmen, wie man sie bereits seit längerem auch für Mikroprozessoren anwendet, wie die Scan-Path-Analyse, der Built-in Self-Test oder der Quiescent Current Test aber auch spezifisch für FPGA’s und CPLD’s entwickelte Methoden wie die Triple-Modular-Redundancy (TMR), die häufig mit anderen Methoden (z.B. Configuration Scrubbing) und Techniken (z.B. Phase-Shifted Clocks) kombiniert werden.