Blog – Beste Praxis beim Entwurf sicherheitskritischer Anwendungen mit Mikrocontrollern
von Jacob Lunn Lassen, Functional Safety (FuSa) Manager für Funktionale Sicherheit bei Microchip Technology Inc. In Trondheim, Norwegen
17. August 2022
Stichworte
- Entwicklung
- Eingebettete Systeme
- Sicherheit
- Sicherheitskritisch
- Halbleiter & Entwicklungstools
Einführung
Während wir uns alle um die Sicherheit der elektronisch gesteuerten Systeme kümmern, mit denen wir uns umgeben, ist den meisten Menschen der Aufwand für die Entwicklung sicherheitskritischer Produkte nicht bewußt. Jedes elektronisch gesteuerte Produkt, das Menschen, der Umwelt oder Eigentum Schaden zufügen kann, verfügt wahrscheinlich über eine Reihe von Sicherheitsfunktionen, die Sie und mich schützen sollen. Was den meisten Menschen nicht bewußt ist, ist, daß sicherheitskritische Systeme noch einen Schritt weiter gehen: Die internationalen Sicherheitsnormen wie IEC 61508 verlangen, daß das System überprüft, ob die Sicherheitsfunktionen bestimmungsgemäß funktionieren und sicher sind, auch wenn die Sicherheitsfunktionen ausfallen. Nun, die Wahrheit ist, daß Fehler nie zu 100% vermieden werden können. Was Sicherheitsingenieure und Sicherheitsmanager tatsächlich tun, ist, das Risiko gefährlicher Fehler solcher Systeme auf ein akzeptables Maß zu reduzieren. Dies geschieht durch die Einhaltung strenger sicherheitskonformer Spezifikationen sowie Entwurfs- und Verifizierungsprozesse, bei denen alle möglichen (und unmöglichen) Fehler des Systems bewertet und gemildert werden.
Professionelle Sicherheitsingenieure oder Sicherheitsmanager verstehen die höchsten Sicherheitsanforderungen des von ihnen entworfenen Systems und sind die unbestrittenen Experten auf ihrem Gebiet. Ihr Fachwissen kann jedoch zu kurz kommen, da die Sicherheitsanforderungen auf die Komponentenebene heruntergebrochen sind und es möglicherweise nicht offensichtlich ist, wie ein bestimmtes elektronisches Bauteil (z.B. ein Mikrocontroller) auf die sicherste Art und Weise verwendet werden kann. Hier ist die Unterstützung des Komponentenanbieters entscheidend, um sicherzustellen, daß das System so sicher wie möglich ist und gleichzeitig die Kosten des Produkts im Rahmen des Budgets bleiben, um wettbewerbsfähig zu bleiben.
Beste Praxis geht über das Datenblatt hinaus
Bei der Bewertung der sicheren Verwendung eines ICS – bleiben wir bei einem Mikrocontroller, da es sich um häufig verwendete sicherheitskritische Systeme handelt – können Sie nicht mehr nur das Datenblatt des Mikrocontrollers verwenden. Sie benötigen eine Dokumentation darüber, wie der Mikrocontroller auf Hardwareebene ausfallen kann, sei es ein vorübergehender Fehler, der durch eine elektromagnetische Störung verursacht wird, oder ein permanenter Hardwarefehler, der beispielsweise durch natürliche Hintergrundstrahlung verursacht wird. Was Sie benötigen, sind der Gerätefehlermodus-, Effekt- und Diagnoseanalysebericht (FMEDA – Failure Mode, Effect and Diagnostic Analysis report) und das Sicherheitshandbuch! Microchip vertreibt diese Dokumentation in sogenannten Sicherheitspaketen.
Die FMEDA ist ein Dokument, das alle identifizierten Fehlermodi jeder Funktion im Mikrocontroller und die Auswirkung (Symptom) jedes dieser Fehler beschreibt, sodaß es möglich ist, sie zu diagnostizieren (zu erkennen). Hier ist es wichtig zu verstehen, daß ein diagnostizierter Fehler normalerweise als sicher angesehen wird, da das System geeignete Maßnahmen ergreifen kann, wenn der Fehler erkannt wird. Die FMEDA liefert sogar die statistische Wahrscheinlichkeit der Fehler auf der Grundlage anerkannter statistischer Modelle, sodaß die Ausfallrate des Produkts unter Berücksichtigung der angewandten diagnostischen Maßnahmen ermittelt werden kann. Dies sind notwendige Informationen, um zu beurteilen, ob das sicherheitskritische System sicher ist – daß das Risiko ausreichend gemindert ist.
Das andere wichtige Dokument, das Sie für die Entwicklung eines sicheren eingebetteten Systems benötigen, ist das Sicherheitshandbuch. Das Sicherheitshandbuch beschreibt, wie die in der FMEDA beschriebenen Fehler aus Implementierungsperspektive erkannt werden. Es enthält auch eine umfassende Beschreibung der “Dos und Don’ts” bei der Verwendung des Mikrocontrollers, wobei die strengsten davon die Nutzungsannahmen (AoU – Assumptions of Use) sind, die Sie befolgen müssen, um das in der Dokumentation angegebene Sicherheitsniveau zu erreichen.
Sowohl die FMEDAs als auch die Sicherheitshandbücher enthalten Informationen, die für niemanden außer dem Hersteller des Mikrocontrollers praktisch unmöglich zu erstellen sind. Auditoren der sicherheitskritischen Systeme verstehen dies und begrüßen die Verwendung einer solchen Dokumentation, da sie dazu beiträgt, daß alle Aspekte der sicheren Verwendung des Mikrocontrollers abgedeckt werden.
Beste Praxis geht über die Standard-Entwicklungstools hinaus
Während das FMEDA- und Sicherheitshandbuch dazu beitragen kann, das Risiko von Hardwarefehlern im Mikrocontroller des eingebetteten Systems zu verringern, müssen Sie auch Fehler in der Software berücksichtigen. Solche Fehler werden als systematische Fehler klassifiziert, da Software keine zufälligen Fehler wie Hardware aufweisen kann. Offensichtlich kann die Software ausfallen, wenn die Hardware ausfällt, dies wird jedoch als Hardwarefehler eingestuft. Systematische Fehler können durch strenge und gründliche Prozesse, Spezifikationen und Überprüfungen kontrolliert werden. Viele Branchen nutzen gut entwickelte Softwareprozesse, um Softwarefehler zu reduzieren, aber in sicherheitskritischen Systemen gibt es eine zusätzliche Ebene: Sie müssen beurteilen, ob ein Entwicklungswerkzeug Fehler im Endprodukt verursachen kann und wenn ja, welche Auswirkungen sie auf die Sicherheit haben können und ob sie nachweisbar sind.
Eine Werkzeugklassifizierungsanalyse zeigt auf, ob ein Werkzeug Fehler verursachen kann, und wenn ja, ist es erforderlich, das Werkzeug für die Entwicklung sicherheitskritischer Systeme zu qualifizieren. Wie Sie sich vorstellen können, ist ein Compiler ein Werkzeug, das möglicherweise Fehler in der Software verursachen kann, die auf dem im eingebetteten System verwendeten Mikrocontroller ausgeführt wird, und es kann sogar schwierig sein, sie zu erkennen, es sei denn, Sie haben eine extrem hohe Testabdeckung. Hier hilft also die herstellergesteuerte Werkzeugqualifizierung: Microchip verfügt über Entwicklungswerkzeuge für PIC- und AVR-Mikrocontroller, die für den Einsatz in sicherheitskritischen Systemen qualifiziert sind. Dies ist ein formaler Prozeß, bei dem eine unabhängige 3rd-Partei bewertet, ob das Produkt gut genug entworfen, verifiziert und dokumentiert ist, um es für den Einsatz in sicherheitskritischen Systemen zu qualifizieren. Für die Mikrocontroller bedeutet dies, daß solche Entwicklungswerkzeuge mit zusätzlicher Dokumentation geliefert werden: zum Beispiel einem Sicherheitshandbuch.
Die MPLAB-Entwicklungstools unterstützen sowohl gängige Beste Praxis wie statische Codeanalyse und Codeabdeckungsberichte als auch die spezielleren Sicherheitsanforderungen.
Weitere Informationen
Das Webinar “Beste Praxis beim Entwurf sicherheitskritischer Anwendungen mit Mikrocontrollern” gibt einen kurzen Überblick sowohl über die funktionale Sicherheit als auch über die Prozesse bei der Entwicklung von Produkten nach der Sicherheitsnorm IEC 61508. Es enthält auch Informationen zu den Sicherheitshinweisen und Entwicklungstools, die Sie für PIC- und AVR-Mikrocontroller von Microchip erhalten können.
Melden Sie sich hier für das kostenlose Online-Webinar am 4. Oktober an: Best Practices when Designing Safety Critical Applications Using Microcontrollers
Sprecherin
Maria Teresa Jacob ist Technical Marketing and Solutions Engineer bei Microchip Technology und hat mit Funktionaler Sicherheit (FuSa) für PIC- und AVR-Mikrocontroller gearbeitet.
Sie können auch noch mehr über funktionale Sicherheit in der On-Demand-Klasse “Einführung in die funktionale Sicherheit” der Microchip University (Microchip University on-demand class “Introduction to Functional Safety”) erfahren oder Informationen zu Produkten finden, die für sicherheitskritische Designs auf den speziellen Webseiten für funktionale Sicherheit von DigiKey und Microchip empfohlen werden.
Über den Autor
Jacob Lunn Lassen ist Functional Safety Manager für Funktionale Sicherheit bei Microchip Technology Inc. und verfügt über mehr als 20 Jahre Erfahrung in der Halbleiterindustrie. Er verfügt über umfangreiche Erfahrung in der Arbeit mit sicherheitskritischen Anwendungen, die von weißer Ware bis hin zu Automobilanwendungen reichen.