Überwachungsmechanismen für die funktionale Sicherheit

Überblick

Da Testfahrten zur Validierung sicherheitskritischer Funktionen, insbesondere für Fahrerassistenz und autonomes Fahren, zunehmend mit Prototypenfahrzeugen und im realen Straßenverkehr durchgeführt werden, ist ein ausgereiftes und umfassendes Sicherheitskonzept entscheidend, damit das System im Fehlerfall sofort und richtig reagieren kann. Um bereits in frühen Phasen der Funktionsentwicklung ein höheres Maß an Überwachung zu erreichen, verfügen alle MicroAutoBox-III-Varianten über mehrere Überwachungsfunktionen im Bereich der funktionalen Sicherheit (FuSa).

Um den Einsatz der MicroAutoBox III in diesen Szenarien zu vereinfachen, bietet das System ein dreistufiges funktionales Sicherheitskonzept, das auf dem in der Automobilindustrie etablierten EGAS-Sicherheitskonzept basiert.

1. Funktionsebene

Diese Schicht führt die Anwendungsfunktionen aus, zum Beispiel die Regelalgorithmen und die I/O-Funktionen. Schicht 1 entspricht einer Echtzeitanwendung ohne FuSa-Funktionalität.

2. Funktionsüberwachungsebene

Diese Schicht führt Sicherheitsfunktionen aus, die die Funktionalität der Schicht 1 überwachen. Sie implementieren die Sicherheitsfunktionen auf die Echtzeitanwendung, zum Beispiel Plausibilitätsprüfungen der Eingangssignale.

3. Reglerüberwachungsebene

Diese Schicht überwacht die Hardware, die die Funktionen der Schichten 1 und 2 ausführt. Die Sicherheitsfunktionen der Schicht 3 sind weniger anwendungsspezifisch und werden automatisch aktiviert, wenn eine Echtzeitanwendung die FuSa-Funktionalität nutzt. Außerdem überwacht ein Hintergrundprozess automatisch die FuSa-Funktionalität selbst. Wenn eine Sicherheitsfunktion einen FuSa-Fehler erkennt, löst sie die MicroAutoBox-III-FuSa-Unit aus, die auf einen erkannten FuSa-Fehler reagiert und ihn meldet.

Die MicroAutoBox III bietet Überwachungsfunktionen wie Memory-Checks und Challenge-Response-Monitore, die Fehler erkennen und das System in einen definierten Zustand bringen, was die Integration in das Gesamtsicherheitskonzept des Fahrzeugs erleichtert.

Mehrstufiger Watchdog-Mechanismus

Der mehrstufige Watchdog-Mechanismus besteht aus einem FPGA-basierten Hardware-Watchdog und aus konfigurierbaren Software-Watchdogs, die auf dem Echtzeitprozessor ausgeführt werden. Sie überwachen fortlaufend den Echtzeitprozessor und die korrekte Ausführung der Echtzeitanwendung. Das Ansprechverhalten jedes Watchdogs lässt sich individuell konfigurieren, um sicherzustellen, dass Tasks oder Subsysteme periodisch in einem definierten Zeitrahmen ausgeführt werden.

Außerdem ist ein separater Hardware-Watchdog, bestehend aus einem Sicherheits-CPLD (Complex Programmable Logic Device), integriert. Er verfügt über eine unabhängige Stromversorgung und Uhr. Im Falle eines Fehlers sorgt der CPLD dafür, dass die MicroAutoBox III in einen sicheren Zustand übergeht. Das Gerät speichert Informationen über jedes Auftreten eines Fehlers dauerhaft.

Jeder vom System erkannte FuSa-Fehler wird an den Host-PC gemeldet. Diese Informationen sind auch über die Webschnittstelle der MicroAutoBox III verfügbar.

Tritt ein FuSa-Fehler auf, kann die FuSa-Unit auch durch Öffnen eines Relais oder Aufleuchten einer FuSa-LED reagieren. Wird ein Relais geöffnet, kann die MicroAutoBox III Maßnahmen ergreifen, zum Beispiel ein Backup-Steuergerät aktivieren, die FuSa-LED zeigt lediglich einen FuSa-Fehler an, ohne weitere Maßnahmen einzuleiten.

Challenge-Response Monitoring

Challenge-Response-Monitoring ist auf dem Sicherheits-CPLD implementiert, der unabhängig vom Echtzeitprozessor ist. Dadurch wird sichergestellt, dass Fehler weiterhin erkannt werden, auch wenn der Echtzeitprozessor nicht mehr korrekt arbeitet. Im Gegensatz zur Watchdog-Funktion prüft der Challenge-Response-Monitor nicht nur, ob ein Subsystem im vorgegebenen Zeitrahmen reagiert, sondern auch, ob die Berechnungen des Echtzeitprozessors noch korrekt ausgeführt werden. Das Challenge-Response-Monitoring ermöglicht die Implementierung komplexer Überwachungsfunktionen, zum Beispiel zum Überwachen der Ausführungsreihenfolge. Auch lassen sich individuelle Absicherungsroutinen einschließlich C-Code und S-Funktionen implementieren. Sie können bis zu 15 Instanzen des Challenge-Response-Monitorings mit bis zu 16 Challenge- Response-Werten parallel nutzen. Zudem ist implizite Gegenprüfung des Challenge-Response-Monitors implementiert, um periodisch zu prüfen, ob die Überwachungsfunktionen korrekt arbeiten.

Der Mechanismus zur Auslösung von Reaktionen funktioniert als benutzerkonfigurierbarer Software-Monitor, der es ermöglicht, funktionale Sicherheitsfehler direkt aus dem Verhaltensmodell heraus auszulösen. Auf diese Weise können Sie auf einfache Weise Plausibilitätsprüfungen durchführen, zum Beispiel bei I/O-Signalen, und entsprechend ein Fehler-Flag setzen. Je nach Konfiguration kann die Reaktion auf einen solchen Fehler ein einfacher FuSa-Protokolleintrag, ein I/O-Trigger oder sogar ein Herunterfahren des gesamten Systems sein.

Es ist sogar möglich, Verzögerungszeiten zwischen der Erkennung eines Fehlers und dem Auslösen der Fehlerreaktion zu definieren, um sicherzustellen, dass das System einen sicheren Zustand erreicht.

Speicherintegritätsprüfungen

Um Hardware-Ausfälle oder kritische Bitfehler zu erkennen, führt die MicroAutoBox III verschiedene Speicherintegritätsprüfungen durch. Der initiale ROM-Prüfmechanismus erkennt Speicherfehler beim Starten der Echtzeitapplikation. Wird ein Fehler erkannt, führt die MicroAutoBox III nicht das Programm aus, sondern bricht den Start der Echtzeitapplikation ab, um in einen definierten Systemstatus zu wechseln. Die Heap- und Stack- Überwachungsmechanismen erkennen Speicherfehler, während die Echtzeitanwendung läuft. Die Mechanismen stellen sicher, dass die Heap- und Stackspeicherbereiche noch gültig sind und nicht unerlaubt überschrieben werden. Darüber hinaus können Einzelbitfehler, die während der Echtzeitanwendung auftreten, durch das ECC-RAM korrigiert werden. Alle Laufzeitüberwachungsmechanismen führen bestimmte Fehlerreaktionen (Neustart, Herunterfahren, Unterbrechung) aus, um das System im Fehlerfall in einen definierten Status zu versetzen.

Überwachung der Versorgungsspannung

Um kritische Versorgungsspannungen der MicroAutoBox III zu erkennen, steht ein Spannungsüberwachungsmechanismus zur Verfügung. So kann das System reagieren, bevor die Spannung einen kritischen Wert erreicht. Sie können diesen Schwellwert konfigurieren, um den Überwachungsmechanismus der Versorgungsspannung ganz leicht an unterschiedliche Bordspannungssysteme oder an andere Systeme anzupassen, die zusammen mit der MicroAutoBox III genutzt werden.