Ethernet und Funktionale Sicherheit
Die Kommunikation nimmt in hoch vernetzen Systemen im Fahrzeug einen großen Stellenwert ein. Gerade wenn Funktionen verteilt sind und Redundanzen oder zeitkritische Teilfunktion ausgeführt werden müssen, ist das Kommunikationsnetzwerk Teil des Technischen Sicherheitskonzeptes (TSC). Gleichzeitig nehmen die Datenmengen im Fahrzeug zu und die klassischen Bussysteme wie CAN und FlexRay kommen an ihre Grenzen. Was liegt da näher als auf Bewährtes zu setzen wie Ethernet ? In diesen Artikel will ich auf die Grundlagen, inbesondere die MAC/PHY-Layer (IEEE 802.3xx) eingehen und dann eine Betrachtung dieser Technologie zur Funktionalen Sicherheit nach ISO 26262 durchführen. Ethernet und Funktionale Sicherheit bilden eine Grundlage für jedes ADAS-System und sind daher unabdingbar.
Die Automobilindustrie hat bisher immer nur mit ein ungeschirmten Adernpaar gearbeitet, vorwiegend in CAN und Flexray-Kommunikationsystemen. Nun soll mit neuen Single-Pair-Ethernet (SPE) Technologien kostengünstig mehr Datendurchsatz in Fahrzeug gebracht werden. Dies ist dringend notwendig, da Fahrerassistenzsysteme (ADAS) diese Kommunikationsinfrastruktur benötigen. Jedoch sind auch einige Herausforderungen zu meistern, um die technischen Grenzen neu zu definieren. Dazu zählt neben der Physik auch das Zeitverhalten im Sinne eines Time-Sensitive-Network (TSN).
Automotive Ethernet 100BASE-T1 (100 Mbit/s mit IEEE 802.3bw)
Ethernet für Automotive-Anwendungen ist etwas anders aufgebaut als das klassiche 100TX Ethernet. Die automobil spezifischen Anforderungen an EMV und Leitungen spiegeln sich z.B. im Physical-Layer namens BroadR-Reach® (BR-PHY) wieder. Dieser ist im IEEE Ethernet-Standard 802.3bw:2015-10 standardisiert. Auf Leitungsebene ist 1 anstatt 4 Twisted-Pair spezifiziert. Dazu auch noch ungeschirmt (UTP), wie beim CAN-Bus oder FlexRay. Satte 100Mbit/s in Full-Duplex-Communication mit Echounterdrückung stehen zur Verfügung über eine 2-Draht Leitung dank dem Superpositionsprinzip durch einen Master-Slave-PHY. Eine Puls-Amplituden-Modulation (PAM-3) ermöglicht den kostengünstigen Einsatz einfacher Leitungen und EMV-Filter durch eine verringerte Bandbreite von 33,3 MHz. Der Physical-Layer und der MAC-Layer sind mittels Media Independent Interface (MII) verbunden und tauschen Daten- sowie Steuerinformationen aus. Der PHY-Coding-Sublayer kurz PCS kümmert sich um die Datenaufbereitung. Dabei wird ein zu sendendes 4-Bit Datensegment (nibble) mittels 4B3B-Coding in ein ternäres Symbol umgewandelt. Dabei wird also ein 25MHz 4-Bit Datenstream auf ein 33 1/3 MHz 3 Bit Datenstream gewandelt um diese 3 Bit dann über die 3 Level Puls-Amplituden-Modulation (PAM-3) in die 3 diskreten differentiellen Spannungszustände [-1,0,+1] auf den Leitungen zu überführen. Um kein Gleichanteil im Signal zu erhalten oder um keine störenden Spektralanteile aus den Nutzdaten zu erhalten wird ein Stream-Side Scrambling durchgeführt. Der im Empfänger vorhandene Descrampler muss dauerhaft synchronisiert sein. Dies bedeutet, dass dauerhaft eine Kommunikation notwendig ist, auch wenn keine Nutzdaten übertragen werden sollen. Weitere Informationen zum Scrambling im BR-PHY-Layer ist in IEE802.3 Clause 40.3.1.3.1 enthalten. Das Kanalzugriffverfahren ist CSMA/CD. Dabei sind Kollisionen möglich, was Zeit kostet. Um Ethernet nach IEEE 802.3bw und Funktionale Sicherheit in Einklang zu bringen, ist oft deterministisches Kommunikationsverhalten zu implementieren. Dies geschiet auf höheren Ebenen des Protokolls (s. unten).
Die beim Ethernet typische Initialisierungszeit des auto-neogation-process nach IEEE 802.3 beläuft sich auf einige Sekunden. Eine einfache Initialisierung auf dem PHY-Layer ist im BR-PHY mit 200 ms angegeben zwischen einem Master und Slave mit 15m ungeschirmter verdrillter 2 Draht-Leitung (UTP).
Fahrerassistenz benötigt Gigabit (1 Gb/s mit IEEE 802.3bp)
Auf 802.3bw folgt mit geringen zeitlichen Abstand IEEE 802.3bp:2016. Erhöhte Bandbreite (600Mhz) und über 15m Leistungslänge bis zu 40m über geschrimte Zweidrahtleitung (STP) kennzeichnen diesen Standard. 1GBASE-T1 ist in vielen Connected-Car-Anwendungen vertreten.
Nach FlexRay nun Ethernet 10BASE-T1S (10 MBit/s mit IEEE 802.3cg) ?
Seit 2019 ist der neue kleine Bruder im Ethernet dazu gekommen. Mit 10BASE-T1S steht eine interessante Alternative zu den Anwendungsbereichen (Automotive, Industrie) mit den bisherigen Kommunikationsnetzen wie CAN, CAN-FD, FlexRay und 100BASE-T1 zur Verfügung. Das besondere ist der MAC-Layer, in 10BASE-T1S als Physical Layer Collision Avoidance (PLCA) bezeichnet. Der PLCA ist dem CSMA/Cx-Verfahren ähnlich. Damit liegt ein scheinbar neuer Ethernet-Standard im Half-Duplex mit 10 MBit/s vor. Ein alter Bekannter aus der Anfangszeit des Ethernets, dem 10MBit/s-Ethernet sehr ähnlich. Es kommt jedoch zu einer Überdeckung der altbekannten MAC- mit dem PHY-Layer, welche nun im Reconciliation-Sublayer des 10BASE-T1S angesiedelt wurde. Eigentlich ein absolutes No-Go im Sinne einer einheitlichen Ethernet-Standardisierung. Der PLCA ermöglicht eine kollisionsfreie und deterministische Kommunikation und ist damit auch IEEE 802.1-TSN-kompatibel. Dabei ist die maximale Latenz ein maximaler PLCA-Cycle. In einem Multi-Drop-Protokoll mit bis zu 8 Teilnehmern in linearer passiver Topologie mit bis zu 25m ungeschirmter 2-Drahtleitung (UTP). Dabei sendet ein Master ein „BEACON“ und die Slaves nutzen eine „Transmit-Oporrtunity“ (TO), um ihre Daten auf den gemeinsamen Bus zu legen. Multi-Drop stammt aus der Zeit der Token-Ring- oder Token-Bus-Netwerke in Linien- bzw. Ringtopologie, welche durch Ethernet bzw. Fast Ethernet in Stern-Topologie (Punkt-zu-Punkt) mit der Zeit ersetzt wurden, weil das Bridging (Switching) kostengünstiger wurde.
Warum Multi-Drop ? Vermutlich, weil der Anwender seine gewohnte 2-Draht-Umgebung nicht verlassen kann und Switches aus Kostengründen nicht einsetzen kann. Weiterhin ist PoDL = Power over Data Line nach IEEE 802.3bu möglich, ähnlich dem Power over Ethernet (PoE) im IT-Bereich.
Next Big Thing in Automotive Ethernet: Multi-Gig (>1Gb/s mit IEEE 802.3ch)
Der Datenhunger nimmt weiter zu und IEEE arbeitet nach Interessenbekundung (NGAUTO) mit einer Task-Force an weiteren Standards, welche beim PHY-Layer im Sinne der Standardisierung auf Bewährtes setzen muss, wie z.B. IEEE 802.1AC und 802.1Q. Der PHY-Layer muss jedoch an die fehlende Schrimung angepasst werden, wie bereits beim 100BASE-T1 erwähnt. Auch der MAC-Layer wird altbewährt auf Teile in IEEE 802.3 setzen, damit wird z.B. das altbekannte Frame-Format übernommen. Die Taskforce hat mit IEEE P802.3ch keine leichte Aufgabe in 2020, da die Umgebungsbedingungen im Automotive (EMV, energiesparsam, kosteneffizient) und die Forderung nach hohen Datenraten diametral zueinander stehen. Immerhin sollen Punkt-zu-Punkt-Datenraten von 2.5, 5 und 10Gb/s (10G BASE-T1) in Full-Duplex möglich sein bei einer BER < 10^-12 @ MAC-Service-Interface. Dies bedeutet eine enorme Bandbreite (4 bis 5 Ghz). Ohne Schirmung (STP) auf 15m bis 40m geht hier nichts mehr. Eine einfache Initialisierung auf dem PHY-Layer soll mit weniger als 100 ms realisiert werden.
Ethernet und Funktionale Sicherheit
Die ISO 26262 fordert Einfachheit im Design und Entwurf, um Komplexität beherrschen zu können und systematische Fehler zu Vermeiden. Im Artikel wurden nur die unteren Layer des ISO-OSI-Modells kurz erklärt. Schon hier zeigen sich viele potenzielle Fehlerquellen. Daher ist Technologiewissen eine Grundvoraussetzung für die Funktionale Sicherheit in komplexen datenintensiven Funktionen wie Fahrerassistenzfunktionen oder autonomen Fahren. Pauschal lassen sich jedoch „Pattern“ für ein sicheres Kommunikationssystem aus dem Grundstandard zur Funktionalen Sicherheit, der IEC 61508 (Kapitel: Kommunikation in sicherheitsrelevanten PE-Systemen) ableiten.
Im Funktionalen und Technischen Sicherheitskonzept muss die sicherheitsgerichtete Kommunikation ausreichend behandelt werden. Ethernet und Funktionale Sicherheit bedeutet Komplexität zu verstehen und etwas Aufwand. Inbesondere bei Fail-Operational-Charakteristik sind redundante bzw. robuste Kommunikationsarchitekturen erforderlich. Ein Kommunikationskanal mit einem gemeinsam geteilten Medium kann nicht ausreichend Wechselwirkungsfrei sein. D.h. ein fehlerhafter Teilnehmer kann die Kommunikation stören. Wenn in diesem Fall die Kommunikation z.B. für eine koordinierte Transition des Items in den sicheren Zustand eine tragende Rolle spielt, so ist das Kommunikationssystem bzw. die Systemarchitektur ausreichend robust gegenüber Einzelfehler zu gestalten und die passende Kommunikationstechnologie mit deterministischen Eigenschaften auszuwählen. Dies ist auch indirekt abhängig von dem ermittelten Sicherheitsintegritätslevel (ASIL). Doch welche Kommunikationstechnologie ist die richtige ?
Es hängt von dem Anwendungsfall und der Wirtschaftlichkeit ab. Die in diesen Artikel genannten Ethernet-Technologien sind auf Kostenoptimierung im PHY-Layer ausgerichtet. Alles 2-Draht-Kommunikationssysteme. Weit verbreitet war bisher der CAN-Standard in Linientopologie. Dazu hat sich eine End-2-End-Absicherung auf den höheren Schichten des ISO/OSI-Referenzmodells als Software-COM-Stack etabliert. Für viele Softwarefunktionen eines Items (Applikation) ist die Steuergerätearchitektur und das Kommunikationssystem bereits durch Abstraktion nicht weiter relevant, sondern nicht mehr als COM-as-a-Service oder Ressource-as-a-Service einfach vorhanden. Die Restausfallwahrscheinlichkeiten des Kommunikationssystems (Vgl. s. Bit Error Rate = BER) belastet das geringe Budget zur Ausfallwahrscheinlichkeit für sicherheitskritische Anwendungen (ASIL D). Dies muss auch frühzeitig im Projekt berücksichtigt werden. Weiterhin ist bei Anwendung zeitlicher und räumlicher Partition im Sicherheitskonzept die richtige Wahl der Kommunikationstechnologie entscheidend.
Positiv für die Funktionale Sicherheit ist die Abkehr von dem typischen CSMA/CD-Verfahren (z.B. in älteren Ethernet) in den Gigabit-Automotive-Ethernet-Standards. Damit fallen folgende Nachteile des bisherigen CSMA/CD-Verfahrens weg:
- Echtzeitfähigkeit (Real-Time): Kollisionen kosten Zeit
- Skalierbarkeit: homogene Datenraten erlauben keine Abstufung im Netzwerk (Edge & Core)
- IT-Sicherheit: auch wenn es sich eher um die Zuständigkeit der IEC 62443 handelt, so kann jeder Teilnehmer alles mithören bzw. korrumpieren
- Robustheit gegen zufällige bzw. systematische Fehler: ein fehlerhafter Teilnehmer kann den ganzen Bus behindern
Hinzu kommen jedoch beim Ethernet mittelbare und unmittelbare notwendige Bridging-Funktionen in der Architektur (sogenannte Switches) und der Overhead (Rechner-Ressourcen und Bandbreite) zur klassichen End-2-End-Absicherung durch die gestiegenen Datenraten im Gigabitbereich.
Komplexe sicherheitskritische Funktionen wie Fahrerassistenz oder autonomes Fahren (ADAS) führen zwangsläufig zu komplexen und teuren Kommunikationssystemen. Das Kanalzugriffverfahren und die Topologie bestimmen grundlegend die Implementierbarkeit im Sinne des Technischen Sicherheitskonzeptes (TSC). Daher ist die Kommunikationstechnologie und die Systemarchitektur die Grundlage, um Ethernet und Funktionale Sicherheit in Einklang zu bringen.
Ethernet ist stochastisch und wird deterministisch durch Synchronisierung
Weiterhin fehlt es an Time-Triggered- also Real-Time-Eigenschaften im Ethernet nach IEEE 802.3. Jedoch ist ein nach SAE AS6802-2016 standardisiertes Time Triggered Ethernet bereits spezifiziert worden. Auch ein Tier 1-Entwickler hat bereits ein Ansatz mit verteilten synchronisierten Uhren in den oberen Schichten des ISO/OSI-Modells im Angebot. Die IEEE hat bereits Bestrebungen dahin gehend eingeleitet in der IEEE 802.1 Time-Sensitive Networking (TSN) Task Group. Dazu liegen derzeit IEEE 802.1AS und bald auch 802.1AS-Rev vor. In diesen Standard wird das generalized Precision Time Protocol (gPTP) beschrieben. Dies ist in vielen Aspekten dynamisch und kann so nicht für die Automobilindustrie Verwendung finden. Daher wird gerade ein Automotive-TSN-Profil in IEEE 802.1DG spezifiziert.
Trends wie 360° Rundumblick bei Fahrerassistenzsystemen mit Video-Communication-Interfaces haben Standards aus der IEEE 802.1 Audio/Video Bridging Task Group gefördert, dem Vorgänger der TSN. Hierbei werden echtzeitkritische Videodaten per Stream an ein Steuergerät gesendet (Talker/Listener). Insgesamt sind folgende IEEE-Entwicklungen interessant:
- 802.3xx (all PHYs with EMC immunity)
- 802.1AS & AS-Rev (Time&Sync for TSN in bridged LANs)
- 802.1DG (Automotive TSN-Profil)
- 802.1Q-Series (Bridge/Bridged LANs):
- 802.1Qbv (enhancements for scheduled traffic: time-aware shaper)
- 802.1Qbu (frame preemtion)
- 802.1Qci (per stream filtering)
- 802.1Qch (cyclic queing & forwarding)
IEEE 802 Netzwerk-Architektur im Fahrzeug – Tradition, Domäne & Zonale Architektur
Wenn nun komplexe autonome Funktionen zu realisieren sind, wird i.d.R. in den domänspezifischen Disziplinen eine Art Sub-Netzwerk gebildet. Mehrere Sensoren eines Kanals werden sternförmig über eine Bridge an einen Domän-Hauprechner angebunden.
Folgendes Beispiel zeigt den Wandel hin zum Core/Edge-Network aus den IEEE 802 Framework im Fahrzeug:
Weiterhin ist auf Systemebene die Gesamtheit aller Netzwerk-Technologien (CAN, FleyRay, Ethernet) auf Verträglichkeit im Sinne einer in Zeit und Raum verteilten und teils wechselwirkungsfreien Architektur zu achten. Zentrale Synchronisationsmaster in Gateway mit unterschiedlichen Technologien stellen da schnell unerwünschte zeitliche Abhängigkeiten bzw. Seiteneffekte her. Weiterhin ist zu beachten, dass klassische Master-Slave-Kombinationen im Half-Duplex-Mode nicht TSN-kompatibel sind. Folgende Aspekte der drei Netzwerktechnologien sind zu beachten:
- CAN: Nachteile des CSMA/CR-Verfahren. Master und Slave mit Berechnung des Zeitstempels im Slave auf Software-Ebene möglich. Mehrere Zeitdomänen möglich.
- FlexRay: Vorteile des TDMA-Verfahrens, daher per Design eine deterministische Technologie. FlexRay-Uhr durch feste Zykluszeiten. Mehrere Zeitdomänen möglich.
- Ethernet: Vorteile des pPTP bis auf 10BASE-T1S in Multidrop mit PLCA. Per Standard derzeit nur eine Zeitdomäne möglich mit einem Zeitmaster. Nachteil: Einfachfehler im Time-Master.
Stand: 06.01.2020