Projektreferenz HV DC/DC Software-Qualifikation von ASIL-B zu ASIL-C

Das Projekt hatte zum Ziel, die Softwarearchitektur eines Hochspannungs-DC/DC-Wandlers von ASIL-B auf ASIL-C zu verbessern.

Der erste Schritt bestand in einer detaillierten Analyse der bestehenden Softwarearchitektur, gefolgt von der Erstellung umfassender Signalflussanalysen, um die Integritätskontinuität sicherzustellen. Hauptziel war es, die Software so anzupassen, dass sie den ASIL-C-Anforderungen entspricht. Dies wurde durch die Integration von Sicherheitsbibliotheken, die Überwachung des logischen Programmflusses sowie die Durchführung von Dekoposition und Partitionierung erreicht.

Wichtige Aufgaben umfassten die Anpassung des Microcontroller Abstraction Layers (MCAL) an ASIL-C-Standards, die Integration erforderlicher Sicherheitsfunktionen und die Umsetzung notwendiger Softwareänderungen in den Phasen Anforderungen, Architektur, Design, Implementierung und Testen. Dabei kamen AUTOSAR 4.2, Infineon Aurix TC27x und die Vector-Toolchain zum Einsatz, um sicherzustellen, dass alle Anpassungen gründlich getestet und den Sicherheitsstandards entsprechend implementiert wurden.

Dieses Projekt erforderte ein tiefgehendes Verständnis der Software- und Hardwarekomponenten, um einen reibungslosen und sicheren Upgrade-Prozess zu gewährleisten. sensified übernahm die Durchführung dieses Projekts, um die Einhaltung der hohen Sicherheitsstandards und eine nahtlose Implementierung sicherzustellen.

Das Projekt befasste sich mit der sicherheitskritischen Optimierung der Softwarearchitektur eines Hochspannungs-DC/DC-Wandlers. Konkret ging es darum, das Automotive Safety Integrity Level (ASIL) von B auf C anzuheben – also eine deutliche Erhöhung der funktionalen Sicherheit zu erreichen. ASIL-C stellt dabei deutlich höhere Anforderungen an die Fehlertoleranz und Ausfallsicherheit als ASIL-B.

Die Vorgehensweise erfolgte systematisch in mehreren Phasen:

Phase 1 – Analyse & Vorbereitung:

• Detaillierte Untersuchung der bestehenden Softwarearchitektur mit Fokus auf sicherheitskritische Pfade
• Erstellung von Signalflussdiagrammen zur Visualisierung der Datenflüsse zwischen Komponenten
• Identifikation potenzieller Schwachstellen und notwendiger Anpassungen für ASIL-C
• Definition konkreter Maßnahmen zur Erfüllung der höheren Sicherheitsanforderungen

Phase 2 – Technische Umsetzung:

• Integration spezieller Sicherheitsbibliotheken zur Fehlererkennung und -behandlung
• Implementierung eines durchgängigen Monitorings des Programmablaufs zur Erkennung von Kontrollflussfehlern
• Anpassung der Hardware-Abstraktionsschicht (MCAL) gemäß ASIL-C Vorgaben
• Systematische Dekomposition der Software in sicherheitskritische und nicht-sicherheitskritische Bereiche
• Strikte Partitionierung zur Vermeidung gegenseitiger Beeinflussung verschiedener Softwarekomponenten

Phase 3 – Implementierung & Integration:

• Entwicklung nach dem V-Modell mit definierten Phasen für Anforderungen, Architektur, Design, Implementierung und Test
• Nutzung des AUTOSAR 4.2 Standards als Basis für eine standardisierte Softwarearchitektur
• Einsatz des Infineon Aurix TC27x Mikrocontrollers, der spezielle Sicherheitsfunktionen bietet
• Verwendung der Vector-Toolchain für die Entwicklung und das Testing
• Durchgängige Nachverfolgbarkeit von Anforderungen bis zur Implementierung

Phase 4 – Qualitätssicherung:

• Umfangreiche Testszenarien zur Validierung der Sicherheitsfunktionen
• Verifizierung der korrekten Implementierung aller ASIL-C Anforderungen
• Durchführung von Fehlersimulationen zur Prüfung der Robustheit
• Dokumentation aller Maßnahmen und Testergebnisse

Die besonderen technischen Herausforderungen lagen in:

• Der komplexen Integration neuer Sicherheitsmechanismen bei laufender Funktionalität
• Der Gewährleistung der Echtzeitfähigkeit trotz zusätzlicher Sicherheitsprüfungen
• Der korrekten Auslegung der Fehlererkennungs- und Behandlungsmechanismen
• Der Sicherstellung der Rückwärtskompatibilität bei gleichzeitiger Erfüllung höherer Sicherheitsanforderungen

Der DC/DC-Wandler musste während der gesamten Umstellung seine Kernfunktion – die Umwandlung von Hochspannung – zuverlässig und sicher ausführen. Dies erforderte ein präzises Zusammenspiel von Hardware- und Softwarekomponenten sowie ein tiefgehendes Verständnis der elektrischen und informatischen Aspekte.

Die erfolgreiche Umsetzung resultierte in einer deutlich robusteren und sichereren Softwarearchitektur, die alle ASIL-C Anforderungen erfüllt und dabei die ursprüngliche Funktionalität vollständig erhält.