Startseite » Safety »

Safety auch auf Systemebene

Funktionale Sicherheit für die Industrieautomatisierung
Safety auch auf Systemebene

Die 32-Bit-Mikrocontroller-Familie RX631/63N von Renesas Electronics ist vom TÜV Rheinland nach IEC 61508 für die Sicherheitsniveaus SIL2/SIL3-zertifiziert worden. In Kombination mit einem Qualifizierungspaket einschließlich Diagnosesoftware, Dokumentation und einem Sicherheitshandbuch ermöglicht die Lösung eine sicherheitskonforme Systemintegration bei Embedded-Systemen.

DER AUTOR Andreas Thamm ist Manager Smart Factory, Industrial & Communications Business Group bei Renesas Electronics Europe in Düsseldorf

Immer mehr Embedded-Systeme müssen Anforderungen gemäß funktionaler Sicherheit erfüllen. Wer als Hersteller seine Produkte in sicherheitskritischen Umgebungen betreiben möchte, sollte die Normen ISO13849-1 oder IEC62061 beachten, die beide unter der EU-Maschinenrichtlinie 2006/42/EC harmonisiert wurden. Durch die Einhaltung dieser Normen können Hersteller das richtige Maß an Betriebssicherheit auch auf Systemebene gewährleisten.
Die Norm IEC61508 war zwar ursprünglich für den Einsatz auf Systemebene gedacht, der Standard wird aber mittlerweile auch auf Produkt- und Komponenten-Ebene angewendet. Komponenten mit einer Sicherheitszertifizierung haben einen deutlichen Vorteil – sie unterstützen den Systementwickler mit allen erforderlichen Informationen darüber, wie die Komponenten zu integrieren sind. Sie bieten zudem die erforderlichen Nachweise für das spezifizierte Sicherheitsniveau. Alle sicherheitsrelevanten Informationen und Prozeduren sind im zugehörigen Sicherheitshandbuch für Komponenten zusammengefasst.
Aufgrund seiner hohen Komplexität klassifiziert der Standard einen Mikrocontroller als Komponente vom Typ B, bei dem das Verhalten unter Fehlerzuständen nicht vollständig ermittelt werden kann. Diese Klassifizierung ist zur Bestimmung des beabsichtigten Sicherheitsniveaus für das System zu berücksichtigen.
Was fordert die Anwendung
Fast die gesamte Sicherheitshardware ist heute mit Mikrocontrollern oder eigenständigen Halbleiterkomponenten ausgestattet, die ähnliche Sicherheitsnormen erfüllen müssen, damit Hersteller in der Automatisierungsbranche die erforderliche Sicherheitshardware integrieren können. Typische Beispiele dafür sind Lichtvorhänge, Laser-Scanner, modular konfigurierbare Relais oder Motion-Controller mit Sicherheitsfunktionen.
Diese industriellen Anwendungen stellen definierte Anforderungen, die einen wichtigen Bestandteil für die Sicherheitsbewertung bilden. Allen diesen Anwendungen gemeinsam ist die Notwendigkeit eines Hochlast- oder Dauerbetriebs. Die Diagnose-Tests müssen die Anforderungen für einen gängigen 24/7-Dauerbetrieb in einer industriellen Automatisierungsumgebung erfüllen. Diese Diagnose-Tests werden in jedem Prozesssicherheits-Zeitintervall (PST – Process Safety Time) wiederholt; dieses Zeitintervall liegt meist im Bereich von einigen Millisekunden.
Ein Beispiel dafür ist die sichere Bewegungssteuerung. In diesem Bereich berücksichtigen Maschinenhersteller Sicherheitsanforderungen, die dem IEC61800-5-2-Standard entsprechen. Schon heute enthalten die unterschiedlichen Produkte für Antriebstechnik Stoppfunktionen wie STO oder SS1. Um das höchste Betriebssicherheits-Level SIL3 zu erreichen, nutzen die meisten Systeme Redundanz zur Implementierung von Diagnosefunktionen. In einem System mit zwei Kanälen (HFT=1, 1oo2D) ermöglicht ein gegenseitiges Monitoring der beiden Kanäle eine Überwachung der korrekten Ablaufsteuerung und dient damit als ein effizientes Mittel, um das System vor kurzzeitigen Störungen zu schützen. Andere Maßnahmen nutzen die Wiederholung von Berechnungsaufgaben oder die Implementierung redundanter Anwendungssoftware.
Lösung für funktionale Sicherheit
Durch die Nutzung von bereits nach IEC61508-zertifizierten Bauteilen können Hersteller ihre Systeme unter Einhaltung der Sicherheitsnormen konzipieren, und Einsatzrisiken sowie Überschreitungen des geplanten Projektverlaufs deutlich begrenzen. Renesas bietet seinen Kunden zu diesem Zweck ein Sicherheits-Qualifizierungspaket für seine 32-Bit-Mikrocontroller-Familie RX631/63N.
Die Sicherheitsanalyse umfasst eine komplette Analyse der MCU-Komponente und wird auf den enthaltenen Funktionsblöcken mit einem Fehlermodell nach IEC61508 ausgeführt. Dieses Fehlermodell berücksichtigt auch Mehrfachausfälle mit gemeinsamer Fehlerursache (Common Cause Failures). Quantitative Untersuchungstechniken, wie FMEDA (Failure Modes Effects and Diagnostic Analysis), unterstützen den Anwender dabei, die Effektivität der MCU-Sicherheitsarchitektur zu ermitteln. Mit FMEDA lassen sich die Ausfallraten für jeden MCU-Block unter Berücksichtigung der Auswirkungen von dauerhaften und kurzzeitigen Fehlern berechnen. Die Analyse berücksichtigt auch die Wahrscheinlichkeit, dass solche Fehler einen gefährlichen oder einen ungefährlichen Ausfall verursachen können.
Diagnose-Software
Durch die Implementierung zusätzlicher Sicherheitsmechanismen in Form von Diagnose-Software lassen sich Lücken zwischen Hardware-Sicherheitsmaßnahmen und definierten Sicherheitsanforderungen schließen. Diese Diagnose-Software wird entsprechend den in IEC61508-3 definierten Anforderungen zur Einhaltung des SIL3-Sicherheitsniveaus entwickelt.
Zur Analyse der Fehlerabdeckung der Diagnose-Software in Bezug auf dauerhafte Fehler wird eine dynamische Fehlerinjektion am RX-CPU-Kern genutzt. Dabei kommt die tatsächliche Netzliste des Mikrocontrollers in der Validierung zum Einsatz. Bei der Fehlerinjek-tion fügt man absichtlich Fehler in die Netzliste ein, und untersucht damit die Auswirkungen eines Kurzschlusses zu VCC oder GND, einer Unterbrechung oder eines Kurzschlusses zu einem anderen Schaltungsnetz auf das betreffende Netz. Mit dieser Analyse lässt sich die Effektivität der Diagnose-Software bei der Erkennung von Fehlern ermitteln, wodurch diese Testroutinen eine qualitativ hochwertige Diagnosemöglichkeit für den CPU-Kern darstellen.
Sicherheits-Dokumentation
Alle für den Kunden in Bezug auf funktionale Sicherheit relevanten Informationen und Prozeduren sind im Sicherheits-Handbuch zusammengefasst. Dieses Sicherheits-Handbuch beschreibt auch den Einsatz der eigentlichen Diagnose-Software sowie die für den Kunden nutzbaren Ergebnisse der Sicherheitsanalyse. Wie im Anhang D von IEC61508-2 erläutert, besteht der Sinn eines Sicherheitshandbuchs für einen normkonformen Gegenstand darin, alle für die Integra- tion der MCU in ein sicherheitsrelevantes System erforderlichen Informationen entsprechend der Anforderungen von IEC 61508 zu dokumentieren. Das Sicherheitshandbuch für die MCU dient dem Systementwickler als Grundlage zur Erstellung des endgültigen Systemsicherheits-Handbuchs für den Endanwender.
Für die Sicherheitsuntersuchung nutzt Renesas seinen eigenen Qualifizierungs-Workflow. In einem ersten Schritt werden alle Sicherheitsaktivitäten und die zu überwachenden Ziele geplant. Dazu wird ein Sicherheitsplan sowie eine Spezifikation der Sicherheitsanforderungen erstellt. In den folgenden Schritten werden die Sicherheitsfähigkeiten der MCU analysiert, dann folgt die Entwicklung der Diagnose-Software. Der TÜV Rheinland überwacht alle Schritte im Arbeitsablauf der Qualifizierung, um so die Effektivität der implementierten Maßnahmen und die Einhaltung der Standards zu gewährleisten. Dank des vom TÜV Rheinland ausgestellten Zertifikates kann der Systementwickler die Mikrocontroller-Komponente unter definierten, bewährten Einsatzbedingungen für seine Sicherheitsanwendung nutzen.
Werkzeug-Unterstützung
Der IEC61508-Standard umfasst außerdem auch normbezogene Anforderungen für Werkzeuge. Werkzeuge der Klassen T2 und T3 erfordern eine Spezifikation oder ein Produkt-Handbuch, das das Verhalten und den Entwicklungszyklus definiert. Zur Einhaltung dieser Anforderungen setzte Renesas bei der Entwicklung der Diagnosesoftware ein bereits zertifiziertes Werkzeug ein. Dieses Werkzeug – IAR Embedded Workbench for RX – ist eine umfassende Palette von Software-Entwicklungswerkzeugen für die Erstellung von Embedded-Anwendungen. Es enthält Compiler- und Debugger-Werkzeuge, die in einer integrierten Entwicklungsumgebung zusammengefasst sind. Dank der implementierten Qualitätssicherungs-Maßnahmen und des Sicherheits-Handbuchs können Anwendungsentwickler die Tools bei der Entwicklung sicherheitsrelevanter Software gemäß IEC61508 einsetzen. ge
embedded world: 1-350

INFO & KONTAKT

3701097

Renesas Electronics Europe GmbH Andreas Thamm Arcadiastrasse 10 D-40472 Düsseldorf Tel. 0211 65 03 0 Fax 0211 65 03-13 27
Weitere Informationen zum Thema Safety:
Newsletter

Abonnieren Sie unseren Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Videos

Hier finden Sie alle aktuellen Videos


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de