Die neuen V850E2/Px4-Mikrocontroller von Renesas ermöglichen durch ihre zwei CPU-Kerne im Lock-Step-Betrieb und andere Besonderheiten ECUs, die alle Kriterien für ASIL D nach ISO 26262 erfüllen und trotzdem den Entwicklungsaufwand in sehr überschaubaren Grenzen halten. Die nächste, sich zurzeit in der Entwicklung befindende Generation RH850/P1x wird durch die im Automobil-Mikrocontroller-Bereich erstmals eingesetzte 40-nm-Technologie bezüglich Energieeffizienz und Kostenreduzierung nochmals neue Maßstäbe setzen.
Autor: Björn Grothkast, Product Manager bei der Renesas Electronics Europe, Düsseldorf
Spätestens mit ihrer Verabschiedung als offizielle Norm ist die ISO 26262 als Kernforderung bei sicherheitskritischen Applikationen, wie z. B. Lenksystemen, in das tägliche Leben von Entwicklern getreten.
Hierbei zeigte sich, dass sich ASIL-B-Anwendungen mit viel Aufwand ggf. noch mit Standardcontrollern realisieren lassen. Bei höheren Anforderungen, wie sie z. B. für Lenkungsanwendungen Standard sind, gelingt das nicht mehr. Für ASIL C und ASIL D werden also Mikrocontroller benötigt, deren Design den besonderen Anforderungen dieser Applikationsgruppe Rechnung trägt. Renesas hat hierfür die V850E2/Px4-Mikrocontroller entwickelt.
Lock-Step Dual Core, Bist und Safety Guardian als Lösung
Das herausragende Merkmal bei dieser Art von applikationsspezifischen Mikrocontrollern ist der zweite Prozessorkern, welcher der Überwachung des Hauptkerns dient. Dieser zweite, funktional identische Kern führt mit zwei Taktzyklen Verzögerung exakt den gleichen Code wie der Hauptkern aus, so dass praktisch keine Fehlfunktion unentdeckt bleibt. Gewollte Unterschiede in der Implementierung der beiden Prozessorkerne helfen, Common-Cause-Fehler effektiv auszuschließen.
Wird ein Fehler festgestellt, wird dieser automatisch an den redundant vorhandenen Safety Guardian gemeldet. Je nach Konfiguration signalisiert dieser dann die Fehlfunktion an einem dedizierten Pin, löst einen Interrupt aus oder führt zu einem Reset. Selbstverständlich bewirken auch Fehler in anderen Bereichen, wie z. B. nichtautorisierte Zugriffe auf Speicher, Register oder Peripherie oder auch CRC- und Clock-Monitor-Fehler, die gewünschte Aktion des Safety Guardians. Diese und weitere Maßnahmen helfen sicherzustellen, dass die von der ISO 26262 geforderte Freedom-of-Interference erreicht wird. Ein beim Start des Controllers automatisch ablaufender integrierter Selbsttest (Built-In Self Test, Bist) stellt zudem sicher, dass auch latente Fehler zuverlässig aufgespürt werden. Das Ergebnis ist ein Mikrocontroller, welcher vollständig den Anforderungen für ASIL-D- bzw. SIL-3-Applikationen entspricht.
Zum Mehraufwand bei einer Entwicklung nach ASIL D
Speziell auf Funktionale Sicherheit hin ausgelegte Mikrocontroller-Systemarchitekturen bieten dem Entwickler hier einen großen Mehrwert, da bei diesen die meisten Maßnahmen zur Steigerung der Funktionalen Sicherheit schon in der Hardware implementiert bzw. vorbereitet sind. So ist z. B. der Lock-Step-Dual-Core-Betrieb für die Applikationssoftware vollkommen transparent und benötigt daher keinen zusätzlichen Code. Auch macht der Bist die Erstellung von Codes für einen Selbsttest überflüssig. Für den Programmierer beschränkt sich die zusätzliche Arbeit im Vergleich zu einem normalen System daher hauptsächlich auf die Konfiguration der die Funktionale Sicherheit betreffenden Komponenten!
Dem Entwickler bzw. Safety Manager einer ASIL-D-Applikation stehen zusätzlich zu den üblichen Dokumenten, wie dem User’s Manual und dem Datenblatt, alle für die Bewertung der Funktionalen Sicherheit des Mikrocontrollers notwendigen Angaben in Form eines speziellen Safety Manuals zur Verfügung. Der Mikrocontroller kann somit relativ einfach als SEooC (Safety Element out of Context) in die Gesamtbetrachtung des Systems einbezogen werden. Unterstützt von Entwicklungsboards und Autosar-Treibern bietet der V850E2/Px4 somit eine ideale Basis für Anwendungen mit hohen Anforderungen an die Funktionale Sicherheit, wie z. B. Lenkungssysteme.
Renesas,
Tel.: 0211 6503-0, E-Mail: bjoern.grothkast@renesas.com
Teilen: