Fallstudie: Auswahl von SoC-Komponenten mit ISO 26262 Part 11
Diese Woche möchte ich eine Fallstudie vorstellen, bei der es um die Auswahl von sicherheitskritischen Komponenten im Automotive-Umfeld geht. Immer mehr Fahrzeuge verbauen Ein-Chip-Systeme (SoC). Daher zeige ich im Folgenden, wie die Richtlinie Part 11 der ISO 26262 dabei hilft.
Eine ausführlichere Beschreibung dieser Fallstudie hat das Magazin InCompliance veröffentlicht: Applying ISO 26262 to Power Management in Advanced Driver Assistance Systems.
ISO 26262, Part 11
ISO 26262, Road vehicles — Functional safety, wurde 2018 überarbeitet. Unter anderem wurde Part 11 hinzugefügt, Guidelines on application of ISO 26262 to semiconductors. Dabei handelt es sich um eine Richtlinie, die die Umsetzung von Part 5 (Product development at the hardware level) konkretisiert.
In der genannten Fallstudie geht es um den Trend, durch das Zusammenlegen von vielen Funktionen Redundanzen zu reduzieren. Part 11 hilft, für diese Ein-Chip-Systeme (System-on-a-Chip, SoC) die funktionale Sicherheit nachzuweisen.
SoCs haben zwar viele Vorteile, aber sie verschieben den Nachweis der funktionalen Sicherheit vom OEM zum Hersteller des Chips. Daraus ergibt sich ein komplexes Zusammenspiel der zwei Partnern.
Fallstudie: Powermanagement
Der Artikel beschreibt eine hypothetische Situation, in der es um das Qualitätsmanagement eines einfachen DC/DC-Wandlers geht. Dieser ist Teil eines SoCs. Der Entwickler oder Safetymanager muss einen SoC auswählen, bei dem die funktionale Sicherheit gewährleistet ist. Dazu gibt es laut ISO 26262 drei Analysetechniken:
- Blockdiagramm – Das Blockdiagramm hilft dem Designer, durch Abstraktion eine klare Struktur zu erstellen. Zum Beispiel sollte jeder Block genau eine Funktion haben. Bei der Sicherheitsanalyse hilft das Diagramm, den Informationsfluss zu verstehen.
- Dependent Failure Analysis (DFA) – Dieses Analysewerkzeug soll helfen, abhängige Fehler zwischen Sicherheitsmechanismen und den Komponenten, die sie schützen sollen, zu erkennen.
- Failure Mode Effects and Diagnostics Analysis (FMEDA) – FMEDA berücksichtigt allgemein akzeptierte Fehlermodi wie z. B. unterbrochene Widerstandsketten und Bauteiledrift und bestimmt die Auswirkungen auf die Funktion des Geräts. Es wird auch zur Berechnung der Sicherheitsabdeckung für eine ASIL-Einstufung verwendet.
Bei diesen Techniken geht es nicht nur darum, die funktionale Sicherheit zu gewährleisten, sondern auch durch die geschickte Auswahl des SoC die Komplexität des Systems zu minimieren. Der oben verlinkte Artikel aus InCompliance enthält konkrete Beispiele für alle drei Analysetechniken.
Sicherheitsanalyse für die Bauteilauswahl
Die Architektur in Verbindung mit den ersten Analysen ermöglicht einen ersten Abgleich mit den Datenblättern möglicher Komponenten. Gleichzeitig können wir nun die Systemfunktionen im Kontext der Architektur untersuchen. Mit Hilfe der DFA und dem Blockdiagramm können wir „Single Points of Failure“ identifizieren und durch eine Erweiterung der Architektur auflösen.
Auf diese Weise können wir iterativ unsere Architektur erweitern und gleichzeitig passende Bauteile identifizieren. Allerdings fehlt noch eine quantitative Analyse für den Abgleich der Ausfallwahrscheinlichkeiten mit den Vorgaben aus der ISO 26262.
Fazit
Funktionale Sicherheit ist ein sich ständig weiterentwickelnder Bereich des Automobil- und Industriedesigns. Die Leistung der verfügbaren Bauteile ist beachtlich, doch müssen wir bei der Auswahl umsichtig vorgehen. Mit jedem neuen Design kommt eine neue Reihe von Sicherheitsmechanismen, die mit Design- und Sicherheitsteams abgeglichen werden müssen. Ohne ein gewisses Grundwissen kann dies zu Verwirrung führen – und zu nachgelagerten Problemen!
Die ISO 26262 ist schon lange ein gutes Fundament für die Entwicklung von sicheren Fahrzeugen. Part 11 ist ein solides Werkzeug, dass den Trend zu SoCs in Fahrzeugen berücksichtigt und gute Vorgaben bereitstellt.
