Gemischt-kritische MedTech-Systeme
Günstige funktionale Sicherheit
Bildgebende MedTech-Verfahren müssen funktional sicher gesteuert werden. Neben Applikationsprozessoren werden bislang dedizierte Controller genutzt. Mit Functional-Safety(FuSa)-qualifizierten Multicore-Prozessoren kann die Steuerungslogik jetzt auf dem Applikationsprozessor verarbeitet werden.
FuSa-qualifizierte Computer-on-Modules machen die Konsolidierung inklusive SIL2-Zertifizierung einfach.
In bildgebenden Verfahren überwachen Sensoren die Strahlenemissionen oder auch das automatische Verfahren von Positionierungsarmen oder Patiententischen. Abstandssensoren messen die Distanz von Positionierungsarmen zum Patienten. Als zusätzliche Sicherung bringen Widerstandssensoren Apparate automatisch zum sofortigen Gerätestillstand, wenn dennoch Gegenstände oder Personen berührt werden. Durch derartige Funktionen wird gewährleistet, dass Systeme in kritischen Situationen sofort auf die sichere Seite fallen, damit das Patientenwohl nicht gefährdet wird. Für die funktional sichere Steuerungslogik wurden bislang diskrete FuSa-Controller genutzt, die für die geforderte Redundanz der Steuerungslogik sorgten.
Neben diesen FuSa-Prozessoren haben bildgebende Systeme je nach Komplexität jeweils ein weiteres Prozessorsystem für das grafische User-Interface und das bildgebende System – sogenannte Back-End-Systeme – im Einsatz. Alternativ läuft beides bereits auf einem konsolidierten Multicore-Prozessorsystem. Dies ist vor allem bei weniger rechenintensiven bildgebenden Verfahren der Fall.
Mit der Verfügbarkeit von FuSa-qualifizierter Multicore-Technologie, wie in den Intel-Prozessoren Atom x6000E, eröffnen sich für Entwickler bildgebender Verfahren nun neue Konsolidierungsoptionen mit den damit einhergehenden Kosten- und Effizienzsteigerungspotenzialen. Sie sind bereits derart qualifiziert, dass sie Applikationen unterstützen können, die nach IEC-61508-Sicherheitsintegritäts-Level SIL2 zertifiziert werden müssen.
Funktional sichere Computer-on-Modules
Auch Hersteller von Embedded-Computing-Technologie qualifizieren deshalb zunehmend ihr Angebot für funktionale Sicherheit. So hat das herstellerunabhängige Standardisierungsgremium PICMG – welches u. a. für die Formfaktoren COM-HPC und COM Express verantwortlich zeichnet – auf der embedded world 2022 eine entsprechende Erweiterung der COM-HPC-Hardware-Spezifikation angekündigt. Sie definiert Signal-Pinouts zur Unterstützung von FuSa-Anwendungen. Diese sind erforderlich, um die FuSa-qualifizierten Sicherheitsinseln (Safety Islands) moderner Chipsätze oder System-on-Chips (SoCs) unterstützen zu können. Dabei handelt es sich um einen speziellen Teil der Hardware, der zusammen mit unterstützender Firmware und Software vom Hauptteil des Chipsets oder SoC getrennt ist. Diese Sicherheitsinsel überwacht den Zustand und den Status des Haupt-Chipsatzes oder SoC und kann alle Ergebnisse über dedizierte FuSa-GPIOs und eine dedizierte FuSa-SPI-Slave-Schnittstelle an einen FuSa-System-Safe-State-Agenten oder Safety-Controller melden, der als FuSa-SPI-Master auf Carrierboards implementiert wird und Sicherheits- und Statusinformationen für die weitere Nutzung aufbereitet. Die finale Spezifikation wird voraussichtlich noch in diesem Jahr, spätestens Anfang 2023 erwartet.
Funktional sichere virtuelle Maschinen
Auch das Unternehmen Real-Time Systems (RTS) hat zur embedded world angekündigt, sich umfassend der FuSa zu widmen und mit dem RTS Safe Hypervisor einen betriebssystemunabhängigen, für funktionale Sicherheit zertifizierten Hypervisor des Typs 1 für x86er-Prozessortechnologie bereitzustellen. Er zielt auf gemischt-
kritische Arbeitslasten ab, die auf x86-Multicore-Prozessortechnologien basieren,
und wird weltweit verfügbar sein. Er wird als komplettes OEM-Paket geliefert, das den zertifizierten Echtzeit-Hypervisor mit funktional sicheren und nicht sicheren virtuellen Maschinen und einem zertifizierten sicheren Betriebssystem wie dem Linux-basierten Zephyr oder QNX bündelt. Dieses Paket richtet sich an jede handelsübliche oder kundenspezifische Embedded-Computing-Plattform, die mit Functional-Safety-fähigen x86-Prozessoren ausgestattet ist. Die ersten Implementierungen werden auf Intel-Atom-Prozessoren der Serie x6000E mit integriertem Intel-Safety-Island basieren (Bild 1). Eine Ausweitung auf Produkte basierend auf Intel-Core-Prozessoren der 11. Generation ist eine weitere Option für die Zukunft.
Ziel von RTS ist es, Entwicklern den effizientesten Weg zu voll funktionsfähigen, sicherheitskonformen Anwendungen zu bieten, indem vorzertifizierte Plattformen bereitgestellt werden. Eine sichere Echtzeit-Hypervisor-Technologie ist der Schlüssel, um alles miteinander zu verbinden – von sicherer Hardware, sicheren virtuellen Maschinen des Typs 1 und sicheren Betriebssystemen bis hin zu nicht sicheren Domänen, auf denen Multi-Purpose-Betriebssysteme laufen. Letztendlich müssen sich Applikationsentwickler nur um den sicherheitskritischen Teil ihrer Applikation kümmern, um eine Zertifizierung für die funktionale Sicherheit zu erhalten.
OEMs, die solche Hardwareplattformen für gemischt-kritische Anwendungsdesigns von Medizingeräten verwenden, profitieren von Kosteneinsparungen aufgrund einer geringeren Anzahl von Systemen, was zu einer verbesserten mittleren Zeit zwischen Ausfällen (MTBF) im Vergleich zu Installationen mit mehreren Systemen führt. Ein weiterer Vorteil ist, dass Entwickler kritische und nichtkritische Anwendungen auf einem einzigen Chip oder einer einzigen Hardware verwalten können, was die Anwendungsentwicklung und -prüfung sowie den Datenaustausch zwischen diesen Anwendungen erleichtert. Und trotz des Ein-System-Ansatzes ermöglicht eine solche Hypervisor-Implementierung, dass alle nicht sicherheitsrelevanten Anwendungen kontinuierlich aktualisiert und geändert werden können, ohne dass die sicherheitsrelevanten Komponenten neu zertifiziert werden müssen. Dies ist nicht nur für die Innovation, sondern auch für die Verbesserung der Cybersicherheit von höchster Wichtigkeit.
Echtzeit-Betriebssysteme für Safety und Cybersecurity
Auch die Embedded-Experten von Congatec kündigten an, intensiv in den Markt für funktionale Sicherheit zu investieren. So hatte das Unternehmen bereits Ende 2021 eine strategische Partnerschaft mit Sysgo, Europas führendem Anbieter von Echtzeit-Betriebssystemen für Safety- und Cybersecurity-Anwendungen, bekanntgegeben. Ziel der Kooperation ist, nicht nur für x86-, sondern auch Arm-Prozessoren Plattformen zur Verfügung zu stellen, die speziell auf die Anforderungen der funktionalen Sicherheit und Cybersecurity zugeschnitten sind. Erste Implementierungen, die in entsprechenden Designs bis zu ASIL B oder SIL2 zertifiziert werden können, werden auf x86- und Arm-Cortex-basierten Computer-on-Modules zur Verfügung gestellt werden (Bild 2). Ein typischer Anwendungsfall ist Safety Element out of Context (SEooC), wie in der ISO 26262 definiert.
Die neue Partnerschaft und die damit einhergehenden Services sollen den Entwicklungsprozess von sicherheitskritischen MedTech-Systemen vereinfachen und verkürzen. Sie beinhaltet eine umfassende Zertifizierungsunterstützung für die verschiedenen Sicherheitsstandards – analog zum IEC-61508-Standard für funktionale Sicherheit von elektronischen Systemen. Also auch den für medizinische Anwendungen (IEC 62304).
Intel Atom x6000E auf COMs
Die Kombination aus funktional sicherer Prozessortechnologie und OS/Hypervisoren wird vor allem dann charmant, wenn sie applikationsfertig auf Computer-on-Modules bereitgestellt werden kann. Eine Demo für solche FuSa-Bausteine hatte Congatec ebenfalls auf der embedded world in einer Live-Demo präsentiert (Bild 3). Sie basiert auf dem für funktionale Sicherheit vorbereiteten COM-Express-Mini-Modul conga-MA7, welches die für FuSa qualifizierte Intel-CPU x6427FE mit Safety-Island-Support integriert, und zeigte eine FuSa-Demo-Applikation auf Basis des RTS-Hypervisors und integriertem Echtzeit-Linux. Diese FuSa-Demo beweist eindrucksvoll, dass Congatec mit der Qualifizierung der ersten Computer-on-Modules basierend auf der Intel-Atom-x6000E-Prozessortechnologie (Elkhart Lake) schon weit fortgeschritten ist. OEMs können bereits damit beginnen, die für funktionale Sicherheit qualifizierten Module und BSPs von Congatec sowie eigene Softwarekomponenten in ihre Applikationsplattformen zu implementieren. OEM-Kunden werden zudem bei allen Customization-Anforderungen konform zu ihren spezifischen Zertifizierungsanforderungen unterstützt – sei es bei der Auswahl der Komponenten und ihrer Implementierung auf Carrierboards, dem OS- und Hypervisor-Support oder der Implementierung von I/O-Treibern.
Zertifizierbare Bausteine
Um Computer-on-Module für einen sicheren Betrieb zu qualifizieren, müssen alle Komponenten sowie das gesamte BSP für die FuSa-Zertifizierung vorbereitet sein – einschließlich der Sicherheitshandbücher (Safety-Manual) und allen weiteren erforderlichen Dokumentationen. Auch alle organisatorischen Prozesse und Dokumente, die während der Entwicklung und Tests erstellt werden – wie FMEDA (Failure-Modes, Ef-
fects and Diagnostic Analysis) sowie der Verifikations- und Validierungsprozess (V&V) – müssen mit den Zertifizierungsanforderungen in Einklang gebracht und von externen Gutachtern geprüft werden. Embedded-Anbieter wie Congatec stellen alle diese Bausteine zur Verfügung, sodass Medizintechnik-Entwickler ihre FuSa-Projekte unmittelbar starten können – oft verbunden mit einer schnelleren Markteinführung, niedrigeren Kosten und geringerem Implementierungsrisiko.
x86-basierte Embedded-Multicore-Plattformen bieten damit ein solides Ökosystem für funktionale Sicherheit, das vor allem durch seine homogene Prozessor-Roadmaps überzeugt, die nicht an einen einzigen Prozessorhersteller gebunden ist. Mit standardisierten Computer-on-Modules wird zudem das Fundament bereitgestellt, die notwendige Performance über alle Prozessorsockel und -hersteller hinweg zu skalieren. Medizintechnische OEMs, die ein Computer-on-Module als applikationsfertigen Baustein – inklusive aller relevanten Softwarekomponenten wie Bootloader, Hypervisor und BSP – verwenden, das bereits für funktionale Sicherheit zertifizierbar ist, können zudem viel Zeit und Geld sparen. Sie müssen nur noch das kundenspezifische Carrierboard und entsprechende Adaptierungen für die Zertifizierung qualifizieren. (uh)
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Materialforschung am Leibniz-Institut
Lebende Materialien für die Medizin
Messeführer #ew23
Medical goes Embedded World
Von Smart-TV zu Cochlea-Implantat
Der Fernseher streamt direkt ins Ohr
Interdisziplinäre MedTech-Forschung
Neues KIT-Zentrum »Health Technologies«
