TÜV-zertifizierte generische ASIL-C Steuergeräte

Elektronische Fahrzeugfunktionen gewinnen im Nutzfahrzeugbereich zunehmend an Bedeutung. Um sicherzustellen, dass diese Funktionen sicher und zuverlässig sind, hat die International Organization for Standardization (ISO) den Standard ISO 26262 entwickelt. Darüber hinaus müssen Anforderungen an die Cybersicherheit der EE-Architektur gemäß ISO 21434 in erfüllt werden. Diese beiden Standards sind speziell für die Entwicklung sicherheitskritischer elektronischer Systeme in Fahrzeugen konzipiert und legen detaillierte Anforderungen für die einzelnen Schritte des Entwicklungsprozess fest − von der Konzeptphase bis hin zur Serienproduktion. 

Für viele Hersteller und Zulieferer, insbesondere für kleine und mittlere Unternehmen, bedeutet dies einen hohen Anpassungsbedarf aufgrund von:

• steigender Aufwände für Dokumentation und Prozessadaption
• komplexer werdender Hardware- und Softwareentwicklung
• schlechter Verfügbarkeit zertifizierter, generischer Steuerungen für kleinere Stückzahlen

Die Folge: Entwicklungsprojekte werden teuer, zeitintensiv und für manche Unternehmen nur schwer umsetzbar.

Um diese Hürden zu überwinden, haben Fraunhofer IVI, ECUtronic GmbH und Sontheim Industrie Elektronik GmbH eine durchgängige Prozesskette entwickelt – von der Konzeptphase bis zur Serienproduktion. Sie erfüllt die Anforderungen der relevanten ISO-Standards, ohne dass eine aufwendige anwendungsspezifische Hardwareentwicklung erforderlich ist. Im Zentrum steht ein TÜV-zertifiziertes, generisches Steuergerät mit einer Vielzahl von sicheren Ein- und Ausgängen auf ASIL-C-Niveau sowie einem prozesstechnisch abgetrennten QM-Bereich für weniger sicherheitsrelevante Funktionen.

Ergänzt durch eine zertifizierte Middleware erfüllt das Gerät die Anforderungen der ISO 26262 und berücksichtigt auch Lösungen gemäß ISO 21434. So lassen sich kundenspezifische Funktionen normgerecht implementieren, ohne dass jedes Mal eine aufwendige, anwendungsspezifische Hardwareentwicklung nötig ist.

In diesem ersten Prozessschritt legt ein Unternehmen die Grundlagen für die Entwicklung eines sicheren Produkts gemäß ISO 26262 und ISO 21434. Dies umfasst:

• Definition sicherheitsrelevanten Anforderungen (Identifikation potenzieller Gefahren und Festlegung der Sicherheitsziele)
• Entwicklung der Systemarchitektur und des Systemdesigns
• formales Safety Management
• Einführung und Umsetzung eines Anforderungsmanagementsystems (sofern dies im Produktentwicklungsprozess bisher keine Rolle gespielt haben sollte).

Das Fraunhofer IVI hat über zwanzig Jahre Erfahrung bei der innovativen und sicherheitsgerichteten Funktionsentwicklung für die Nutz- und Sonderfahrzeugbranche und ist daher der ideale Partner für diesen Prozessschritt. Die Mitarbeiterinnen und Mitarbeiter sind mit den einschlägigen Randbedingungen vertraut und verfügen über Fachwissen sowohl im Bereich der ISO 26262 als auch in den typischen klein- und mittelvolumigen Anwendungsfällen im Bereich Truck, Bus, Trailer, Agrar- und Baumaschinen sowie Sonderfahrzeugen.

Oft ergibt sich am Ende der Konzeptphase, dass elektronische Steuerungen zur Umsetzung geplanter Funktionen benötigt werden. Im Bereich geringer bis mittlerer Stückzahlen ist es sinnvoll, auf generische vorentwickelte Steuerungen zurückzugreifen, um so den Zeit- und Kostenrahmen der Projekte einhalten zu können. Dieses Vorgehen ist zwar für mobile und stationäre Maschinen Stand der Technik und weit verbreitet, aber innerhalb des Normbereichs von ISO 26262 und ISO 21434 stellen derartige Steuerungen noch eine Seltenheit dar.

Das generische Steuergerät ist nach ISO 26262:2011 ASIL C zertifiziert. Es deckt ein breites Anwendungsspektrum ab und ist auch für kleine bis mittlere Stückzahlen wirtschaftlich einsetzbar. Dank des generischen Prinzips können verschiedenste Applikationen bedient werden, sei es in der Agrar-, Bau-, Lkw-, Trailer- oder Busbranche.

Hardwaresicherheit

Das grundlegende Hardware-Sicherheitsprinzip für das Steuergerät (ECU) besteht in der Verwendung eines Sicherheits-Mikrocontrollers mit Überwachungsfunktion, einschließlich Watchdog (dem sogenannten Companion-Chip), die alle vorzertifiziert sind. Der Sicherheits-Mikrocontroller verfügt über eine eingebaute Selbstdiagnose, die ebenfalls von der Firmware aktiviert und zurückgelesen wird. Bei einem Ausfall wird das Steuergerät sicher stummgeschaltet. In diesem Fehlerfall werden die ECU-Ausgänge deaktiviert und die Kommunikation zu den umliegenden Systemen unterbrochen. Darüber hinaus ist die ECU-Architektur für die sicheren IOs redundant und mit Diagnose ausgestattet.

Softwaresicherheit

Gemäß dem Anspruch, möglichst schnell kundenspezifische Projekte mit dem Steuergerät realisieren zu können, wurde besonderer Wert darauf gelegt, die unteren Softwareschichten weitgehend projektunabhängig zu gestalten und abzuschließen. Das Sicherheitskonzept der ECU-Software besteht in einer Trennung in der Firmware zwischen einer sicheren Partition mit erweiterten recht strikten Kontrollmechanismen und einer QM-Partition mit weniger strikten Softwarevorgaben. Diese werden durch die Memory Protection Unit (MPU) getrennt und vom Echtzeitbetriebssystem unterstützt.

Technische Details des Steuergeräts

• Vielzahl sicherer Ein- und Ausgänge auf ASIL-C-Niveau
• QM-Bereich für weniger kritische Funktionen
• Unterstützung von Hydraulikventilen mit hoher Strombelastbarkeit
• Robustes Design für raue Einsatzbereiche (Truck, Bus, Trailer, Agrar-, Bau- &
• Sonderfahrzeuge)
• Redundante Sicherheitsarchitektur mit umfassender Diagnose
• Sichere Firmware-Partitionierung (Safety- und QM-Bereich, MPU-gestützt)
• Basissoftware mit sicheren Treibern
• Realisierungsvarianten gemäß AUTOSAR oder als Complex Device Driver (CDD)
• Integrierte E2E-Kommunikationsbibliothek

Die enge Vernetzung zwischen der Steuerungshardware, ihrem Betriebssystem sowie der vorgesehenen Software- und Sicherheitsarchitektur ist eine komplexe und aufwändige Herausforderung bei der Entwicklung der kundenspezifischen Applikationssoftware. In der etablierten Zusammenarbeit zwischen den Partnern Sontheim und ECUtronic wurden alle Schnittstellen und Verfahren für ein gemeinsames Leistungsangebot abgestimmt und die Vernetzung der Softwaremodule über Projekte hinweg realisiert.

Im Ergebnis ist es möglich, sich bei der funktional sicheren Softwareentwicklung auf die konkrete kundenspezifische Applikation mit einigen Anpassungen bei den umgebenden Softwaremodulen zu konzentrieren.

Die konkreten Prozessschritte bei der Applikationsentwicklung umfassen: 

• Entwicklung der Softwarearchitektur unter Berücksichtigung der bereits vorhandenen Architekturmerkmale der Steuergerätelösung
• Erstellung der Modulspezifikationen aller an der Applikation beteiligten Komponenten
• Programmierung und Implementierung der Software
• Integration und Test der Komponenten (funktional und nicht-funktional)
• Verifikation der Funktionen und des Zusammenspiels von Hard- und Software
• Freigabe, falls alle sicherheitsrelevanten Anforderungen erfüllt sind und die Risiken auf ein akzeptables Maß minimiert wurden