Aus zwei mach eins?
Prozessoren, Microcontroller und FPGAs mit zusätzlichen ‚Safety-Features‘ sollen Entwicklern funktional sicherer Automatisierungskomponenten Implementierungs-, Prozess- und Kostenvorteile bieten. Die Halbleiterindustrie hat mittlerweile eine Vielzahl solch integrierter Plattformen auf den Markt gebracht. Doch was können diese Produkte wirklich leisten? Dieser Frage ging ein Expertenteam der Safety Alliance jetzt nach.
Die Auswahl der Prozessorplattform ist eine der wichtigsten, wenn nicht die entscheidende Frage zu Beginn einer Produktentwicklung. Sie entscheidet über die grundlegende Architektur des Hardware-Designs – und damit über die Performance und Funktionalität des zukünftigen Produkts, die Komplexität der notwendigen Diagnosemaßnahmen und letztendlich auch über den Preis. Die Reduktion der notwendigen Sicherheitsplattform – zum Beispiel von bisher zwei Microcontroller-Chips auf einen einzigen – bietet nicht nur Kostenvorteile. Produktentwicklungen für die Funktionale Sicherheit profitieren auch von geringerem Platzbedarf auf der Leiterplatte, einer reduzierten Leistungsaufnahme mit entsprechend optimiertem Wärmehaushalt und eventuell eine einfachere Spannungsversorgung. Andererseits stellen die einschlägigen Normen und Standards hohe Anforderungen an die Architektur funktional sicherer Komponenten. Die individuelle Auslegung und Bewertung führt dabei immer wieder zu unterschiedlichen Interpretationen und Unklarheiten. Was ist hinsichtlich der Funktionalen Sicherheit mit einem einzigen Chip erreichbar? Ein mit Experten aus Beratungs- und Prüfinstituten sowie Herstellern von Safety-Komponenten besetztes Team der Safety Alliance hatte sich daher als primäres Ziel die Klärung genau dieser Frage gesetzt. Systematisch analysierte das Team alle praktisch verfügbaren, aber auch theoretisch möglichen Ausprägungen von Plattformen. Dazu gehören klassische Multicore-Prozessoren, Multicore-Prozessoren mit Safety-Features, FPGAs mit Softcores und ASICs. Besonders wichtig für die richtige Einordnung der Eigenschaften dieser Produkte vor dem Hintergrund der normativen Anforderungen war die Erfahrung der mitarbeitenden Experten des TÜV Süd, des TÜV Rheinland und der DGUV.
Normative Kriterien
Aus normativer Sicht wurde der Fokus auf die Anwendungen im Maschinenbau und damit auf die internationalen Normenreihen IEC61508 und ISO13849 gelegt. Hier zeigte sich, dass Unterschiede in den normativen Anforderungen große Auswirkungen auf die Anwendbarkeit der Produkte haben. Einige der untersuchten Microcontroller wurden speziell für den Automotive-Markt entwickelt. Sie orientieren sich an den normativen Anforderungen der ISO26262 und sind aufgrund hoher Produktionszahlen auch preislich sehr interessant. Eine Nutzung auch im Umfeld der industriellen Automatisierung erscheint daher zumindest einer ernsthaften Prüfung wert. Das Ergebnis der Untersuchung durch das Expertenteam der Safety Alliance war allerdings, dass die Safety-Eigenschaften dieser Automotive-Controller nur sehr begrenzt auf Anwendungen im Maschinenbau übertragbar sind. Die normativen Anforderungen für Safety-Systeme im Maschinenbau sind im Wesentlichen in den internationalen Normenreihen IEC61508 und ISO13849 gelistet. Beide Normen beschreiben Anforderungen bzgl. mehrkanaliger Strukturen. Die IEC61508 verwendet dafür den Kennwert der „HFT“ (Hardware Fehler Toleranz). Ein System besitzt eine HFT=1, wenn in diesem System das Auftreten eines Hardwarefehlers nicht zum Verlust der Sicherheitsfunktion führen kann. Für Single-Chip-Designs ist also detailliertes Wissen über die innere Struktur des Chips notwendig. Nur so kann beurteilt werden, ob ein einzelner Fehler nicht gleichzeitig mehrfache Strukturen, Prozessorkerne, Speicher usw. stört. Mit einer HFT=1-Architektur lassen sich sicherheitstechnische Produkte daher optimal realisieren. Dagegen sind HFT=0-Architekturen nur für niedrigere Sicherheitslevel gedacht. Zudem müssen in HFT=0-Architekturen zwingend notwendige Diagnosen innerhalb der spezifizierten sicheren Reaktionszeit ausgeführt werden, was in der Regel die Prozessoren stark belastet und selbst performante Microcontroller stark ausbremst. Die ISO13849-1 benutzt für die Beurteilung einer mehrkanaligen Struktur den Begriff der ‚Kategorie. Bei Kategorie 3 darf ein Einzelfehler nicht zum Verlust der Sicherheitsfunktion führen. Die Sachlage ist damit sehr ähnlich zur IEC61508. Lässt sich die Einzelfehlersicherheit des Single-Chip-Designs nicht nachweisen, ist man auf Kategorie 2 beschränkt. Mit Kategorie 2 lassen sich nur weniger kritische sogenannte ‚Performance Level‘ implementieren. Auch hier gibt es für die Implementierung der notwendigen Diagnoseroutinen im Falle der Kategorie 2 sehr strenge Anforderungen. Generell sind auch die von den Halbleiterherstellern definierten Rahmenbedingungen und spezifizierten Maßnahmen für den Einsatz in Sicherheitsanwendungen zu beachten. Für Verwirrung sorgt in vielen Entwicklungsabteilungen, dass sich gewisse Single-Chip-Designs gemäß SIL3 zertifizieren lassen können. Da diese Chips aber nur eine HFT=0 haben, können sie Performance Level-e oder Kategorie 3 nur durch zusätzliche Maßnahmen erreichen. Teilweise wurde diese schmerzhafte Erkenntnis allerdings erst in schon laufenden Projekten gemacht.
Ernüchterndes Ergebnis
Die Ergebnisse der systematischen Analyse des Expertenteams können unter drei wesentlichen Aspekten zusammengefasst werden. Einerseits wurden normative Lücken beim Thema ‚On-Chip-Maßnahmen‘ festgestellt. Die im Team mitarbeitenden Experten der Prüfinstitute werden diese Punkte in die Normungsgremien einbringen. Außerdem bleiben aus Sicht des Expertenteams derzeit noch einige offene Fragen und Anforderungen an die Halbleiterhersteller. Diese betreffen zum Beispiel fehlende technischen Angaben zur sicherheitstechnischen Bewertung der Plattformen und zertifizierte Produkte mit ausreichenden Qualifikationen für den Einsatz im sicherheitstechnischen Umfeld der industriellen Automatisierung. Der letzte, aber wahrscheinlich wichtigste Aspekt ist die Antwort auf die eingangs gestellte Kernfrage: „Was ist hinsichtlich der Funktionalen Sicherheit mit einem einzigen Chip erreichbar?“ Die eher ernüchternde Antwort lautet: Weit weniger als erwartet. Nur spezielle Einzelentwicklungen, die für den Safety-Einsatz gemäß IEC61508 spezifiziert sind und die On-Chip-Redundanz gemäß IEC61508 Annex E erfüllen, sind als Single-Chip Lösungen für fehlertolerantes Verhalten geeignet. Nach aktuellem Kenntnisstand des Expertenteams gibt es derzeit am Markt nur ein einziges Produkt, das eine Hardware Fehler Toleranz HFT=1 aufweist. Allerdings wird in diesem Chip ein 8051-Rechenkern mit entsprechend begrenzter Rechenleistung eingesetzt. Alle anderen Mikrocontroller und FPGAs, die es derzeit am Markt gibt, erreichen als Single-Chip-Lösungen lediglich eine HFT von 0, obwohl diese Chips teilweise über mehrere Prozessorkerne verfügen. Diese Produkte verfügen unter Umständen auch über Zertifizierungen von Prüfstellen. Wichtig ist, dass die Einsatzbedingungen gemäß der Sicherheits-Handbücher im Hinblick auf sicherheitstechnische Kennwerte (z.B. Reaktionszeiten) applikationsspezifisch zu berücksichtigen sind.
