Sicherheitstechnik Funktionale Sicherheit ist keine Hexerei

Autor / Redakteur: Frank Forster, Dr. Björn Sander * / Franz Graser

Die Hercules-MCUs von Texas Instruments erleichtern die Implementierung von funktional sicheren Maschinensteuerungen. Das SafeTI-HSK Evaluierungskit von Hitex zeigt, wie einfach das gehen kann.

Firmen zum Thema

Überblick: Das Board des SafeTI-HSK enthält eine Safety-MCU und eine Control-MCU. Erstere führt die Safety-Applikation aus. Die Control-MCU übernimmt die Kommunikation mit der Host Control-Oberfläche.
Überblick: Das Board des SafeTI-HSK enthält eine Safety-MCU und eine Control-MCU. Erstere führt die Safety-Applikation aus. Die Control-MCU übernimmt die Kommunikation mit der Host Control-Oberfläche.
(Bild: TI/Hitex Development Tools)

Die Maschinenrichtline IEC 61508 ist nun seit über einem Jahr eine für Europa bindende Direktive, die ein einheitliches Schutzniveau zur Unfallverhütung beim Betrieb von Maschinen sicherstellen soll. Die Umsetzung der Richtlinie durch die Anwendung entsprechender Normen wird oft noch als „schwarze Magie“ empfunden – zu Unrecht. Die Hercules MCUs von Texas Instruments erleichtern mit den zugehörigen Safety Companion Chips die Implementierung von funktional sicheren Maschinensteuerungen. Das SafeTI-HSK Evaluierungskit von Hitex zeigt, wie einfach es gehen kann.

Funktionale Sicherheit – die relevanten Standards

Funktionale Sicherheit ist der Teil der Gesamtsicherheit, der von der korrekten Funktion des sicherheitsbezogenen Systems abhängt [1]. Sie ist nicht nur in der Automobilwelt oder der Kraftwerktechnik essentiell, sondern auch in zahlreichen anderen Bereichen der Technik – z. B. beim Betrieb von Maschinen. Eine Risikominderung kann hier in einem einfachen Fall z.B. mit einem Schutzzaun geschehen; mit steigender Komplexität von Maschinen – besonders im Bereich der elektronischen Steuerung – muss die funktionale Sicherheit aber schon bei Beginn einer Entwicklung integraler Bestandteil sein.

Für Maschinensteuerungen ist neben der Grundnorm IEC 61508 und der von ihr abgeleiteten DIN EN 62061 auch die ISO 13849-1 von Bedeutung. Bei der DIN EN 62061 und der ISO 13849-1 handelt es sich um unter der Maschinenrichtlinie harmonisierte Normen [2]. Für beide besteht eine sogenannte Vermutungswirkung – bei korrekter Anwendung der Standards wird von einer Erfüllung der Anforderungen der Maschinenrichtlinie ausgegangen. Neben den genannten Normen ist noch eine Vielzahl von applikationsspezifischen Normen (oft auch als C-Normen bekannt) von Relevanz.

Safe-Island-Konzept balanciert Hard- und Software aus

Die Mikrocontroller-Familie Hercules hat ihre Wurzeln in der Automobiltechnik und ist dort als TMS570 schon seit vielen Jahren in sicherheitskritischen Applikationen wie ABS, elektrischer Lenkungsunterstützung oder Airbag im breiten Einsatz. Der neue Zweig RM4x der Hercules-Familie unterstützt nun auch Applikationen im industriellen und medizintechnischen Bereich.

Der Leitgedanke der Hercules-Architektur ist es, so viele sicherheitskritische Funktionen wie möglich in Hardware zu realisieren und somit den Aufwand auf der Softwareseite zu minimieren. Die Mikrocontroller der Hercules-Familie setzen die sog. Safe-Island-Philosophie um. Darunter wird das aufeinander abgestimmte Zusammenspiel von Hardware- und Softwarediagnosemaßnahmen verstanden, welches die funktionale Sicherheit unter Berücksichtigung von Kostengesichtspunkten gewährleistet.

Das Safe-Island-Konzept definiert für die Hercules-Mikrocontroller eine Vielzahl von Kernelementen, zu denen u. a. die CPUs, der SRAM-Speicher und Verbindungsstrukturen gehören, die für eine korrekte Ausführung von Software unabdingbar sind. Wegen ihrer Bedeutung sind den Kernelementen Hardware-Safety-Mechanismen zugeordnet, die die korrekte Funktionsweise in regelmäßigen Abständen überprüfen. Ist eine ordnungsgemäße Ausführung gewährleitet, können entsprechende Softwarediagnosemaßnahmen verwendet werden, um andere Elemente, z. B. periphere Einheiten, zu testen.

Die Hercules-Familie basiert auf zwei mit bis zu 220 MHz getakteten Floating Point Cortex-R4F CPUs, die in Dual-Core-Lockstep-Betrieb arbeiten. In diesem Betrieb kann eine zweite CPU die korrekte Funktion der ersten CPU permanent überwachen und bietet so einen effizienten Schutz vor zufälligen Fehlern. Durch einen in Hardware realisierten Selbsttest kann die Funktion der CPUs bis auf Gatterebene mit einem sehr hohen Diagnosegrad überprüft werden. Die CPU bietet aber auch eine integrierte Memory Protection Unit (MPU), mit deren Hilfe Zugriffsrechte sicherheitskritischer Software von unkritischen Teilen leichter trennbar sind.

Die ECC-Einheit (Error Correction Codes) kann Fehler in den Speichermodulen erkennen und im Fall eines Einfachfehlers auch direkt korrigieren. Da diese Einheit in die CPU integriert wurde, ist dies auch ohne Performanceeinbußen möglich und beinhaltet außerdem eine Überwachung der systeminternen Busse. Die RAM-Module können mit einem ebenfalls in Hardware hinterlegten Speichertest überprüft werden. Darüber hinaus ist eine Vielzahl von weiteren Sicherheitsmechanismen, wie z. B. Überwachung der Versorgungsspannung und Taktrate sowie Paritätsüberwachung oder CRC der seriellen Schnittstellen, vorhanden.

Weiterhin sind wichtige Peripheriemodule, wie der 12-bit A/D-Wandler oder die programmierbaren Timer-Module, doppelt vorhanden, um Redundanzen zu schaffen bzw. gegenseitige Überwachung und Diagnose zu ermöglichen. Der Einsatz der Hercules-Hardware-Sicherheitsfunktionen kann im Vergleich zu konventionellen Lösungen (zwei separate Mikrocontroller) bis zu 30% Software eliminieren und die gewonnene Rechenleistung der Applikation zur Verfügung stellen.

SafeTI - Ein kompletter Chipsatz für funktionale Sicherheit

Die Hercules-Familie ist Teil der SafeTI™-Produkte, die nach einem produktlinienübergreifenden Entwicklungsstandard für funktional sichere Bauteile entwickelt wurden und ausführliche Sicherheitsdokumente, wie Safety Manuals oder Safety Assessment Reports (FMEDA) für die IEC 61508 und die ISO 26262, beinhalten.

Bewährt: Die Hercules-Mikrocontroller-Familie hat ihre Wurzeln in der Automobiltechnik und ist dort schon seit vielen Jahren in sicherheitskritischen Applikationen im breiten Einsatz.
Bewährt: Die Hercules-Mikrocontroller-Familie hat ihre Wurzeln in der Automobiltechnik und ist dort schon seit vielen Jahren in sicherheitskritischen Applikationen im breiten Einsatz.
(Bild: TI/Hitex Development Tools)

Als Ergänzung zur Hercules-Familie steht mit dem TPS65381 ein Bauteil zur Verfügung, das die Spannungsversorgung sowie weitere Sicherheits- und Diagnosefunktionen übernimmt. Durch das SafeTI-HSK von Hitex ist es einfach möglich, die Safety-Konzepte von TI kennenzulernen und das Zusammenspiel zwischen einer Hercules-Safety-MCU und einem TPS65381 Safety Companion Chip zu analysieren.

Das im SafeTI-HSK enthaltene Board enthält zwei Hercules-Controller, die Safety-MCU und die Control-MCU. Die Safety-MCU führt – überwacht durch den externen Safety Companion Chip TPS65381 – die eigentliche Safety-Applikation aus. Die Control-MCU hingegen stellt die Kommunikation mit einer PC-Oberfläche, der sog. Host Control GUI, sicher und dient u. a. zur Injektion von Fehlern in das System – hat also keinen Safety-Bezug.

Beim TPS65381 handelt es sich um ein Spannungsversorgungs-IC , welcher besonderen Anforderungen an die funktionale Sicherheit genügt und standardmäßig die Mikrocontroller der Hercules-Familie unterstützt. Um die korrekte Funktionsweise des angeschlossenen Mikrocontrollers zu überwachen, enthält der Companion Chip einen Watchdog. Dieser erwartet in bestimmten Zeitintervallen spezifische Nachrichten von der Safety-MCU. Bleiben diese aus, wird der Safety Path – und damit das EUC (Equipment Under Control) - deaktiviert.

In der Abbildung sind die verschiedenen Teile des Software-Stacks, der auf der Safety-MCU ausgeführt wird, schematisch dargestellt worden. Dazu gehören neben der Hardware-Abstraktionsschicht, die Hercules Safety Library von Texas Instruments, das Echtzeitbetriebssystem SAFERTOS und die eigentliche Benutzer-Applikation.

Das SAFERTOS ist ein vom TÜV SÜD vorzertifiziertes Echtzeitbetriebssystem, das vom populären FreeRTOS Betriebssystem abgeleitet wurde. Bei SAFERTOS handelt es sich ein sog. „compliant item“ (s. a. IEC 61508-3, Abschnitt 7.4.2.12 und Anhang D), das den Anforderungen der Sicherheitsgrundnorm IEC 61508 auf SIL 3 genügt und deshalb insbesondere für den Einsatz in sicherheitskritischen Systemen geeignet ist.

Während der Startphase werden die Safety Mechanismen der Hercules-MCU durch die Safety Library konfiguriert. Anschließend wird durch die Ausführung entsprechender Tests sichergestellt, dass die MCU fehlerfrei arbeitet.

Nach dem Start des Betriebssystems läuft die Benutzerapplikation in Form von unabhängigen Tasks, die über FIFO-Queues Informationen austauschen können, auf dem SAFERTOS Echtzeitbetriebssystem. Zu den Tasks zählt ein sog. Command Handler, der Kommandos von der Control-MCU entgegennimmt und an die jeweiligen Zieltasks weiterleitet. Ein Kommando, durch das ein Fehler in die MCU eingestreut werden soll, würde z. B. vom sog. Fault Injection Task verarbeitet.

Die Control-Applikation auf der Control-MCU stellt die Kommunikation zwischen Board und Host Control GUI sicher und ermöglicht die Injektion von Fehlern in die Safety-MCU als auch in die Kommunikation zwischen TPS65381 und Safety-MCU. Darüber hinaus erlaubt sie nach dem Einstreuen eines Fehlers die Beobachtung des Systemverhaltens und das Messen von Systemantwortzeiten.

SafeTI-HSK Host Control GUI und Fehlerinjektion

Mit der Benutzeroberfläche können diverse Merkmale der Safety-MCU, die für einen Einsatz in sicherheitskritischen Systemen relevant sind, auf bequeme Weise evaluiert werden. Durch die grafische Darstellung des Systemverhaltens wird schnell auch ein grundlegendes Verständnis für das Zusammenspiel zwischen Safety-MCU und Safety Companion Chip erreicht.

SafeTI-Familie vereint Controller und Companion Chips

Die SafeTI™-Produkte von Texas Instruments, zu denen auch die Mikrocontroller der Hercules-Familie sowie verschiedene Safety Companion Chips gehören, eignen sich aufgrund ihrere einzigartigen Safety-Merkmale insbesondere für die Entwicklung von sicherheitsbezogenen Systemen, wie z. B. Maschinensteuerungen, die oft die Anforderungen der Maschinenrichtlinie erfüllen müssen.

Das SafeTI-HSK-Evaluierungskit von Hitex ermöglicht einen schnellen Einstieg in die Safey-Konzepte von Texas Instruments und kann in vielen Fällen als Referenzdesign herangezogen werden. Hitex bietet darüber hinaus mit entsprechenden Dienstleistungen Unterstützung rund um das Thema Safety.

Weitere Informationen finden Sie unter www.ti.com/hercules und www.ti.com/safeti sowie www.hitex.com/safeti-hsk.

Literaturhinweise:

[1] P. Löw, R. Papst, E. Petry: Funktionale Sicherheit in der Praxis, dpunkt.verlag, 2010

[2] Funktionale Sicherheit in Maschinensteuerungen, Deutsche Gesetzliche Unfallversicherung, 2008

* * Frank Forster ist Marketing- und System-Applikations-Manager für Sicherheits-Mikrocontroller bei Texas Instruments in Freising.

* * Dr. Björn Sander ist Technical Sales Engineer bei Hitex in Karlsruhe.

(ID:39444590)