Funktionale Sicherheit
Elektronik, die
funktionieren
muss
ALLGEMEINES VORGEHEN
Ausgehend von den Top-Level-Anforderungen an das sicherheitsbezogene E/E/PE-System müssen die Anforderungen an den Entwurf durch die Zerlegung der Sicherheitsfunktion in Teilfunktionen und deren Zuordnung zu Teilsystemen oder Elementen hergeleitet werden. Dies erfolgt oft durch die vollständige Beschreibung von Blockdiagrammsequenzen, bestehend aus Sensor(en), Logik(en) und Aktor(en). Die Nachvollziehbarkeit (Traceability) zwischen den Top-Level-Systemanforderungen und den daraus resultierenden Entwurfsanforderungen ist dabei sicherzustellen. Neben der Zerlegung der Sicherheitsfunktion in Teilfunktionen sind auch Anforderungen an die Sicherheitsintegrität der einzelnen Elemente zu entwickeln, insbesondere im Hinblick auf deren Entwurf und Architekturmerkmale.
Nicht alle Anforderungen müssen dabei in der Sicherheitsanforderungsspezifikation enthalten sein. Sofern die Wechselwirkungsfreiheit gewährleistet ist, können auch Nicht-Sicherheitsanforderungen in sicherheitsrelevanten Elementen integriert werden. Um diesen Prozess erfolgreich umzusetzen und die funktionale Sicherheit des Systems zu gewährleisten, sind bestimmte Aspekte bei der Entwicklung von FUSI-Hardware zu beachten. Die nachfolgende Liste fasst die wichtigsten Punkte zusammen, die während des Entwicklungsprozesses berücksichtigt werden sollten. Diese sind "managerial" zu sehen und bieten einen allgemeinen Kontext für die Entwicklung von sicheren Systemen.
Sicherheitsstrategien
Allgemeine Vorghensweise und systematische Ansätze und Prozessqualität zur Gewährleistung der funktionalen Sicherheit definieren - projektbezogen oder organisiatorisch
Verantwortlichkeiten
Klar definierte Verantwortlichkeiten in den Phasen des Sicherheitslebenszyklus festlegen und kommunizieren. Geforderte Rollen der Norm beachten
Kompetenzsicherung
Qualifikationen und Kompetenzen des Teams sicherstellen, um die Anforderungen des Sicherheitslebenszyklus zu erfüllen
Kommunikation
Effektive Informationswege und Dokumentationsverfahren zwischen allen beteiligten Parteien etablieren
Zuliefererstandards
Sicherstellen, dass Zulieferer und Dienstleister die geforderten Sicherheitsstandards erfüllen. Absichern über Audits
Änderungsmanagement
Tracking und Verwaltung von sicherheitsrelevanten Änderungen und Empfehlungen aus Analysen und Vorfällen. Ggf. ALM-Tools beschaffen
Sichere Bezugsquellen
Sicherstellen, dass sicherheitsrelevante Systeme nur mit zugelassenen Komponenten betrieben werden. Ggf. Beschaffungsprozesse überarbeiten
Kontrollprozesse
Zeitpunkte für formale Konfigurationskontrollen im Lebenszyklus festlegen und umsetzen.
V&V-Planung
Validierungs- und Verifikationsmaßnahmen sehr früh im Prozess definieren und konsequent umsetzen.
HARDWARE-PRAKTIKEN FÜR SAFETY
In der Praxis ist aber nicht nur die Steuerung und Prozesse der Hardware-Entwicklung bei sicherheitsrelevanten Projekten relevant. Hinzu kommt auch eine Auswahl geeigneter Best Practices für das Design von Platinen mit programmierbarer Elektronik. Je nach Ausprägung der Design- und Sicherheitsanforderungen ist daher unter anderem aus unten genannten Design-Prinzipien auszuwählen.
Undervoltage- und Overvoltage-Schutz sowie Spannungsüberwachung
Um die Funktionalität sicherer Hardware zu gewährleisten, müssen Schaltungen zum Schutz vor Über- und Unterspannung integriert werden. Diese Schaltungen verhindern, dass Komponenten bei Spannungsabfällen oder -spitzen beschädigt werden. Spannungsüberwachungsschaltungen detektieren Spannungsabweichungen und leiten Maßnahmen ein, wie z.B. das Abschalten der Stromversorgung, um Ausfälle zu vermeiden.
Hardware Watchdogs
Hardware-Watchdogs überwachen kontinuierlich die Funktionsfähigkeit des Systems und setzen es zurück, wenn es für einen definierten Zeitraum nicht korrekt reagiert. Dies verhindert, dass das System bei Fehlfunktionen oder Softwarefehlern in einen unsicheren Zustand übergeht.
Taktüberwachung (Clock Monitoring)
Die Taktfrequenz eines Systems ist entscheidend für die Synchronisation und den ordnungsgemäßen Ablauf von Prozessen. Taktüberwachungsschaltungen sorgen dafür, dass Abweichungen erkannt und Korrekturmaßnahmen ergriffen werden. Bei abnormalen Taktänderungen kann ein sicherer Zustand aktiviert werden, um das System zu schützen.
Temperatursensoren
Überhitzung stellt ein mögliches Risiko für Hardwareausfälle dar. In sicherheitskritischen Systemen überwachen Temperatursensoren die internen Temperaturen. Bei Erreichen kritischer Werte wird das System in einen sicheren Zustand überführt oder abgeschaltet, um Schäden zu verhindern.
Redundante programmierbare Elektronik
Redundanz ist ein zentrales Element der funktionalen Sicherheit. Der Einsatz redundanter programmierbarer Elektronik ermöglicht die Absicherung gegen Ausfälle. Mehrere programmierbare Systeme arbeiten parallel, und wenn eines ausfällt, übernehmen die anderen, um einen sicheren Betriebszustand aufrechtzuerhalten.
Verwendung von Mehrkern-Prozessoren und Controllern
Mehrkern-Prozessoren ermöglichen die Verteilung sicherheitskritischer und nicht-sicherheitskritischer Aufgaben auf unterschiedliche Kerne. So kann die funktionale Sicherheit durch eine physische und logische Trennung verbessert werden, während die Prozesse dennoch parallel ausgeführt werden können.
Redundante Ein- und Ausgangssignale
Zur Vermeidung von Ausfällen und Fehlinterpretationen durch fehlerhafte Signale werden in sicherheitskritischen Systemen oft redundante Ein- und Ausgangssignale verwendet. Diese doppelte Auslegung ermöglicht eine kontinuierliche Validierung der Signale und stellt sicher, dass bei einem Ausfall eines Kanals der andere den Betrieb übernehmen kann.
Verwendung von programmierbarer Elektronik zur Programmablaufsteuerung und Cross Monitoring
Programmierbare Logikbausteine (z.B. FPGAs) können in sicherheitskritischen Anwendungen zur Steuerung des Programmablaufs eingesetzt werden. Cross Monitoring sorgt dafür, dass zwei oder mehr unabhängige Steuerungseinheiten sich gegenseitig überwachen, um sicherzustellen, dass die vorgegebenen Abläufe korrekt ausgeführt werden.
Verwendung von Kommunikations- und Logikbausteinen mit Safe State (z.B. Enable/Disable Pins)
Komponenten, die über Safe-State-Funktionen verfügen, wie z.B. Enable/Disable Pins, können einen sicheren Zustand aktivieren, wenn ein Fehler erkannt wird. Dies verhindert, dass unsichere Zustände auftreten, und gibt dem System Zeit, entweder eine Korrektur durchzuführen oder sich in einen sicheren Ruhezustand zu versetzen.
Umsetzung von isolierten Spannungs- und Signaldomänen
Durch die Trennung von Spannungs- und Signaldomänen werden Störungen und unerwünschte Wechselwirkungen zwischen verschiedenen Systemkomponenten minimiert. Isolierte Domänen helfen, Fehler in einer Domäne zu begrenzen und verhindern, dass sie sich auf andere Systemteile auswirken.
FAZIT
Der Entwicklungsprozess für sicherheitskritische Hardware folgt einem klar strukturierten Ansatz, der von den Top-Level-Anforderungen bis hin zur Detailausführung reicht. Durch die Zerlegung der Sicherheitsfunktionen in Teilfunktionen und deren Zuordnung zu Subsystemen wird die Rückverfolgbarkeit sichergestellt. Der Fokus liegt auf der ständigen Überwachung von Anforderungen und Designentscheidungen sowie auf der Einhaltung von Sicherheitsintegritätsmerkmalen. Diese systematische Herangehensweise, kombiniert mit spezifischen Hardware-Praktiken, ermöglicht die Entwicklung sicherer und zuverlässiger Systeme, die den hohen Anforderungen in sicherheitskritischen Anwendungen gerecht werden.
Vom Nischenprodukt zum strategischen Device
Unser Kunde jumo musste aufgrund einer strategischen Anfrage aus einem bisher nicht beachteten Industriezwei ein Nischenprodukt praktisch "über Nacht" zu einem strategischen Device aufwerten. Das Problem: der Controller war bereits abgekündigt.
MOIN AUS HAMBURG
HIGH-TECH AUS DER HANSESTADT
Mit unserem erfahrenen Team von über 20 Spezialisten begleiten wir Embedded-Projekte vom Konzept bis zur Serienreife – professionell und zielgerichtet aus unserem Headquarter "Brand24".
Ihre Ideen sind unsere Leidenschaft. Wir setzen auf agile Methoden und halten uns an gängige Standards in funktionaler Sicherheit und Cybersecurity.
Lassen Sie uns gemeinsam Ihr nächstes High-Tech-Projekt angehen. Kontaktieren Sie uns für ein maßgeschneidertes Angebot. Mit PICKPLACE in weniger als zwei Wochen zum Projektstart!
Neugierig geworden?
Fragen, Anmerkungen und Anregungen darüber wie wir arbeiten und entwickeln beantworten wir gerne im persönlichen Gespräch. Senden Sie uns gerne eine Anfrage zu Ihrem Anliegen.
Wir freuen uns auf Sie.
Dr.-Ing. Hendrik Schnack
Vertrieb, Technik, Strategie
Hummam Kadour
Vertrieb