Rutronik News

Funktionale Sicherheit für Automotive-Systeme

Erstellt von Ralf Hickl - Automotive Business Unit |

Automobil-OEMs und -Zulieferer müssen enorm hohe Anforderungen erfüllen, um die funktionale Sicherheit von elektronischen und elektrischen Systemen zu gewährleisten – erst recht, wenn es sich um eine so sicherheitsrelevante Komponente handelt wie die elektronische Feststellbremse. Erfahren Sie, auf welche Lösungen die Rutronik Automotive Business Unit gesetzt hat.

Ein innovativer Automobilzulieferer aus dem Bereich Chassis & Safety hat sein Portfolio um eine elektronische Feststellbremse erweitert.

Sie fällt unter die höchste Risiko- bzw. Sicherheitsstufe ASIL D. Denn bei einer Fehlfunktion oder einem Versagen könnte die Bremse bei voller Fahrt auslösen - mit allen erdenklichen Folgen. Dadurch ergeben sich höchste Sicherheitsanforderungen, die auch die Auswahl der Komponenten maßgeblich beeinflussen. Das gilt insbesondere für den Mikrocontroller.

Was bedeutet ASIL?

Die ISO 26262 beschreibt den Weg zu funktional sicheren elektronischen und elektrischen Systemen im Fahrzeug. Dabei unterscheidet sie verschiedene ASIL (Automotive Safety Integrity Level), also Ebenen der funktionalen Sicherheit.

Zur Einstufung wird jede potentielle Gefahr einer Sicherheitsstufe von QM (nicht sicherheitsrelevant) über ASIL A bis D zugeordnet nach

- der Schwere ihrer Auswirkungen

- der Beherrschbarkeit der Fehlfunktion

- der Häufigkeit der Situation.

Je nach ASIL empfiehlt die Norm unterschiedliche Maßnahmen für die Entwicklung der Systeme.

Mikrocontroller mit Sicherheitsmerkmalen

Mehrere Hersteller bieten Mikrocontroller für sicherheitskritische Anwendungen, zur Best-of-Class gehört die AURIX™-Familie von Infineon. Sie ist zudem auf die rauen Bedingungen im Automotive-Umfeld ausgelegt. Die erste Generation wird in 65nm-Technologie gefertigt, aktuell ist die zweite Generation - die Baureihe TC3xx™ - in der Entwicklungsphase.

Die AURIX Mikrocontroller wurden als Safety Element out of Context (SEooC) entwickelt, das heißt sie können in ein sicherheitsrelevantes Gesamtsystem integriert werden. Dafür sorgen verschiedene interne Sicherheitsmerkmale, die als Hardware realisiert sind, u. a.:

- Dual CPU Core im Lockstep

- Taktüberwachung

- Interne Überwachung der Core-Spannung

- SRAM Error Code Correction (ECC)

- Flash ECC

- Built-in System Test (BIST)

Deren Funktionen werden zusätzlich durch die Selbsttestbibliothek SafeTLib überprüft.

Hardware-Sicherheitsmodul für Manipulationsschutz

Außerdem verfügt der AURIX Mikrocontroller über ein Hardware-Sicherheitsmodul (HSM), das die Firmware der Steuergeräte vor böswilligen Manipulationen schützt. Das ist entscheidend für die Sicherheit des Gesamtsystems. Denn Steuergeräte sind meist vernetzt und ihre Firmware kann über Schnittstellen von außen aktualisiert werden. Diese Schnittstellen lassen sich ebenso für Manipulationen nutzen, wenn sie nicht ausreichend geschützt sind. Gleichzeitig ist die Software ein integraler Bestandteil für die funktionale Sicherheit des Gesamtsystems. Das HSM des AURIX entspricht den Anforderungen EVITA Medium (E-safety Vehicle Intrusion proTected Applications), in der zweiten AURIX Generation erfüllt es sogar die EVITA Full Anforderungen.

Aber: Eine sichere Komponente macht noch kein sicheres Gerät!

Deshalb kommt in der Parkbremse zudem der Safety-Companion-IC TLF35584 von Infineon zum Einsatz. Er ist auf den AURIX Mikrocontroller abgestimmt und umfasst

- Spannungsregler für die Versorgungsspannungen

- Window-Watchdog

- Function- oder Q/A-Watchdog für ein Monitoring-Modul auf Level 3 eines mehrschichtigen Überwachungskonzeptes. Zum Q/A-Watchdog gehört ein Safe-State-Controller, dessen Steuerausgänge mittels externer MOSFETs Sicherheitsstromkreise schalten können.

Die Paarung AURIX/TLF35584 ist in Infineons Development Kit KIT_AURIX_TC234 verbaut, so dass Kunden sie evaluieren können.

Musterlösung vom Hersteller

Für die elektronische Feststellbremse, bei deren Entwicklung die Rutronik Automotive Business Unit beteiligt war, hat Infineon bereits einen Lösungsvorschlag mit den Schlüsselkomponenten veröffentlicht (Abbildung 1). Dazu gehören

- der AURIX Mikrocontroller

- der Safety-Companion-IC

- Bus-Transceiver für CAN oder LIN

- Halbbrückentreiber zur Ansteuerung des Gleichstrommotors

- Hallsensoren zur Zustandserkennung der Bremse

- ein MOSFET als Verpolschutz der Leistungsendstufe

Support für alle Kunden

32-Bit-Mikrocontroller wie der AURIX sind bereits in ihrem Aufbau und ihrer Funktionsweise sehr komplex. Kommen noch Anforderungen wie ein Entwicklungsprozess nach ISO 26262 oder der Aufbau eines funktional sicheren Gesamtsystems dazu, stellt das vor allem kleinere und mittlere Unternehmen ohne entsprechende Kapazitäten vor große Herausforderungen. Sie erhalten von den meisten Mikrocontroller-Herstellern kaum Support, da diese sich auf Projekte großer Kunden konzentrieren.

Deshalb hat Infineon ein Konzept entwickelt, bei dem auch sie Unterstützung finden: Preferred Design Houses (PDH) bieten allen Kunden technischen Support bei Projekten mit dem AURIX. Eine Liste der PDHs finden Sie unter www.infineon.com/pdh.

Und das Projekt zeigt: Auch der Distributor kann deutlich mehr leisten als in seiner klassischen Rolle als Vermittler zwischen Tier 1- bzw. Tier 2-Zulieferern und den Bauelemente-Herstellern. Hierfür muss er jedoch nicht nur eine umfassende Expertise zu elektronischen Komponenten und Technologien sowie langjährige Erfahrung mitbringen, sondern auch den Automobilmarkt mit seinen Besonderheiten kennen.

Die Automotive Business Unit (ABU) von Rutronik arbeitet seit einigen Jahren mit namhaften Engineering-Dienstleistern sowie ausgewählten, führenden Halbleiter-Herstellern zusammen. Dabei tritt sie nicht nur als klassischer Distributor, sondern vor allem als Consulting-Partner auf. Gerade beim Einstieg in die eigene Elektronikentwicklung ist die Auswahl der richtigen Engineering Dienstleister und EMS kaum zu überschätzen und ein kompetenter Partner besonders wichtig.

Komponenten erhalten Sie auf www.rutronik24.de.

Key components from Infineon for an electronic parking brake
Bild 1: Schlüsselkomponenten von Infineon für eine elektrische Parkbremse