Congatec

Funktional sicher mit x86-Multicore

6. Oktober 2022, 7:42 Uhr | Zeljko Loncaric
Funktional sicher mit x86-Multicore
© Dreamstime

Leistungshungrige Sensorik in Applikationen mit funktionaler Sicherheit (FuSi) führt dazu, dass auch die Embedded-Computing-Plattformen an Performance zulegen müssen – Multicore-Prozessoren rücken deshalb zunehmend ins Blickfeld.

Sensoren für das Situationsbewusstsein sind die wohl wichtigsten Performancetreiber in den Applikationen der funktionalen Sicherheit. In Cobot-Umgebungen sind nicht mehr nur FuSi-qualifizierte Sensoren und Schaltgeräte erforderlich, die bei Betreten des Fertigungskäfigs den Roboter zum Stillstand bringen, vielmehr muss jedwede Bewegung detektiert werden. Im kollaborativen Einsatz von Robotern und bei autonomen Logistikfahrzeugen in der Fertigung sind folglich Kamera-, Lidar- und Laserdaten zu verarbeiten und zu analysieren. Dies zunehmend unter Einsatz Künstlicher Intelligenz. Diese Daten sind mitunter auch mit Sensoren zur Ermittlung von Geopositionsdaten abzugleichen, um Ausweichmanöver nach vorgegebenen Entscheidungsmustern zu ermöglichen.

All dies hat in Echtzeit und funktional sicher zu erfolgen. Ganz so komplex wie in autonomen Fahrzeugen muss es aber auch nicht immer sein. Selbst ein digitaler Rückspiegel eines Flurförderzeugs, welches noch von Mitarbeitern gesteuert wird, ist ein komplexer „Sensor“. Soll er funktional sicher sein, ist er konstant daraufhin zu überprüften, ob er noch funktioniert. Ein eingefrorenes Bild könnte schließlich zu vollkommenen Fehleinschätzungen des Fahrers führen.

Leistungshungrige Sensorik

Es ist zwar nicht immer so, dass solche performancehungrigen Funktionsbausteine, die im Umfeld funktionaler Sicherheit zum Einsatz kommt, zwingend ebenfalls funktional sicher sein müssen. So wird beispielsweise diskutiert, wie man die Umwelterkennung in Fahrzeugen ohne die Lasten einer ISO 26262 umsetzen kann. Sicher ist aber, dass sie im Zusammenspiel mit funktional sicheren Lösungen deutlich mehr Performance benötigen als die funktional sicheren Elemente eines Systems für das Zurückfallen zur sicheren Seite jemals benötigten.

Mehr Leistung ist demnach in Applikationen gefordert, die nun auch Sensoren zur Situationserkennung in Kombination mit KI erfordern. Die Echtzeit-Konnektivität solcher Systeme addiert zudem den Bedarf eines schnellen Datendurchsatzes mit geringer Latenz, wenn übergeordnete Steuerungslogik für autonom geführte Systeme zum Einsatz kommt, die beispielsweise über private 5G-Netze angebunden werden.

Mixed-Critical-Systeme im Kommen

Neben den bislang üblichen FuSi-Controllern werden auch Applikationsprozessoren benötigt, die idealerweise neben Situationserkennung und Künstlicher Intelligenz auch das GUI des Systems hosten – in mobilen Maschinen sind das z.B. Fahrerassistenzsysteme. x86-Technologie wird für solche Mixed-Critical-Systeme daher hochinteressant. Vor allem auch, weil eine homogene Weiterentwicklung dieser generischen Multi-Core Prozessortechnologie zu erwarten ist und nicht zuletzt auch, weil erste Prozessoren dieser Art Controller integriert haben, die FuSi-Funktionen erfüllen. So ist die Intel Atom x6000E Prozessortechnologie bereits derart qualifiziert, dass sie Applikationen unterstützt, die analog zum IEC 61508 Sicherheitsintegritätslevel SIL2 zertifiziert werden müssen.

Anwendungsbereiche für SIL2 finden sich in industriellen Maschinen, kollaborativen Robotern und Produkten für Industrie 4.0 wie IoT-Gateways und Edge-Servern. Weitere Märkte ergeben sich aus den Anforderungen der automatisierten Intralogistik mit autonomen Logistikfahrzeugen und erstrecken sich von der Fabrikmobilität bis hin zu allen neuen Märkten, die im autonomen Fahren zu finden sind, von Land- und Baumaschinen über Smart-City-Fahrzeuge und AUVs bis hin zu UAVs. Nicht zuletzt sind auch Medizingeräte sowie auch Hardware für Zug- und Streckensteuerung oder Avionik ebenfalls Zielmärkte. Erforderlich ist eine Safety-Zertifizierung in diesen Bereichen, um beispielsweise Gefahren vor elektrischen Schlägen, Feuer und Explosionen oder Quetschungen und Stöße oder gar ein Überfahren werden zu vermeiden. Erforderlich sind deshalb Redundanz und die Möglichkeit, ausfallsichere Prozesse zu implementieren.

Funktionale sichere Computer-on-Modules

Hersteller von Embedded Computer Technologie qualifizieren deshalb zunehmend ihr Angebot für funktionale Sicherheit. So hat das herstellerunabhängige Standardisierungsgremium PICMG – das für die Embedded Computer Formfaktoren wie COM-HPC und COM Express verantwortlich zeichnet – auf der embedded world 2022 eine entsprechende Erweiterung der COM-HPC Hardware-Spezifikation angekündigt. Sie definiert Signal-Pinouts zur Unterstützung von FuSi-Anwendungen. Diese ist erforderlich, um die FuSi-qualifizierten Sicherheitsinseln moderner Chipsätze oder System-on-Chips (SoCs) unterstützen zu können. Dabei handelt es sich um einen speziellen Teil der Hardware, der zusammen mit unterstützender Firmware und Software vom Hauptteil des Chipsets oder SoCs getrennt ist. Diese Sicherheitsinsel überwacht den Zustand und den Status des Haupt-Chipsatzes oder SoCs und kann alle Ergebnisse über dedizierte FuSi-GPIOs und eine dedizierte FuSi-SPI-Slave-Schnittstelle an einen FuSi-System-Safe-State-Agenten oder Safety Controller melden, der als FuSi-SPI-Master auf Carrierboards implementiert wird und Sicherheits- und Statusinformationen für die weitere Nutzung aufbereitet. Die finale Spezifikation ist voraussichtlich noch in diesem Jahr, spätestens Anfang 2023 zu erwarten.

Funktional sichere virtuelle Maschinen

Anbieter zum Thema

zu Matchmaker+
Funktional sicher mit x86-Multicore
Die Intel Atom Multicore-Prozessortechnologie ermöglichen dank ihres Safe Island Controllers den Aufbau von Mixed-Critical-Systemen, die sichere Applikationen in echtzeitfähigen virtuellen Maschinen hosten. Sie können selbst anspruchsvolle Sensorik für die Situationserkennung hosten.
© Congatec

Auch Real-Time Systems hat zur embedded world angekündigt, sich dem Thema FuSi umfassend zu widmen und mit dem ‚RTS Safe Hypervisor‘ einen betriebssystemunabhängigen, für funktionale Sicherheit zertifizierten Hypervisor des Typs 1 für x86er-Prozessortechnologie bereitzustellen. Er zielt auf gemischt-kritische Arbeitslasten ab, die auf x86-Multicore-Prozessortechnologien basieren, und wird weltweit verfügbar. Er wird als komplettes OEM-Paket geliefert, das den zertifizierten Echtzeit-Hypervisor mit funktional sicheren und nicht sicheren virtuellen Maschinen und einem zertifizierten sicheren Betriebssystem wie dem Linux-basierten Zephyr oder QNX bündelt. Dieses Paket richtet sich an jede handelsübliche oder kundenspezifische Embedded-Computing-Plattform, die mit Functional-Safety-fähigen x86-Prozessoren ausgestattet ist. Die ersten Implementierungen sollen auf Intel Atom Prozessoren der Serie x6000E mit integriertem Intel Safety Island basieren. Eine Ausweitung auf Produkte basierend auf Intel Core-Prozessoren der elften Generation ist eine weitere Option für die Zukunft.

Ziel von RTS ist es, Entwicklern den effizientesten Weg zu voll funktionsfähigen, sicherheitskonformen Anwendungen zu bieten, indem vorzertifizierte Plattformen bereitgestellt werden. Eine sichere Echtzeit-Hypervisor-Technologie ist der Schlüssel, um alles miteinander zu verbinden – von sicherer Hardware, sicheren virtuellen Maschinen des Typs 1 und sicheren Betriebssystemen bis hin zu nicht sicheren Domänen, auf denen Multi-Purpose-Betriebssysteme laufen. Letztendlich müssen sich Applikationsentwickler nur um den sicherheitskritischen Teil ihrer Applikation kümmern, um eine Zertifizierung für die funktionale Sicherheit zu erhalten.

OEMs, die solche Hardwareplattformen für gemischt-kritische Anwendungsdesigns verwenden, profitieren von Kosteneinsparungen aufgrund einer geringeren Anzahl von Systemen, was zu einer verbesserten mittleren Zeit zwischen Ausfällen (MTBF) im Vergleich zu Installationen mit mehreren Systemen führt. Ein weiterer Vorteil ist, dass Entwickler kritische und nicht-kritische Anwendungen auf einem einzigen Chip oder einer einzigen Hardware verwalten können, was die Anwendungsentwicklung und -prüfung sowie den Datenaustausch zwischen diesen Anwendungen erleichtert. Und trotz des Ein-System-Ansatzes ermöglicht eine solche Hypervisor-Implementierung, dass alle nicht sicherheitsrelevanten Anwendungen kontinuierlich aktualisiert und geändert werden können, ohne dass die sicherheitsrelevanten Komponenten neu zertifiziert werden müssen. Dies ist nicht nur für die Innovation, sondern auch für die Verbesserung der Cybersicherheit von höchster Wichtigkeit.


  1. Funktional sicher mit x86-Multicore
  2. Echtzeit-Betriebssysteme für Safety und Security

Das könnte Sie auch interessieren

Verwandte Artikel

congatec AG

Safety & Security