La sicurezza funzionale rafforza la sicurezza in progetti industriali 24/7/365

La sicurezza e l'affidabilità sono preoccupazioni di primaria importanza in ambienti industriali in cui le apparecchiature in genere sono in funzione 24 ore su 24, 7 giorni su 7, 365 giorni all'anno. In parole povere, è imperativo che i progetti industriali mission-critical siano sempre adeguatamente protetti, sia quando sono alimentati che quando non lo sono, sia in fase di spegnimento che di avvio.

Anche se i meccanismi per la progettazione di sistemi embedded a sicurezza intrinseca sono ben documentati, la novità nel settore industriale è rappresentata dall'aggiunta della conformità alla sicurezza funzionale. Ciò che la tecnologia della sicurezza funzionale apporta ai progetti industriali attenti all'affidabilità è un nuovo livello di sicurezza completamente standardizzato.

I progetti industriali che sono influenzati dalla tecnologia della sicurezza funzionale vanno dai robot autonomi ai dispositivi medici di supporto vitale, fino ai trasporti intelligenti. I componenti dotati di sicurezza funzionale includono CPU, SRAM e chip di memoria flash. La disponibilità di componenti con certificazione di sicurezza consente agli sviluppatori di sistemi di dimostrare le loro affermazioni su un particolare livello di integrità di sicurezza (SIL).

MCU abilitati per la sicurezza funzionale

La sicurezza funzionale è un'attività complessa e dispendiosa in termini di tempo con cui gli sviluppatori che si occupano di progetti industriali devono spesso confrontarsi. Un buon esempio è rappresentato dai sistemi che gestiscono le interazioni tra i robot e le persone. Un sistema progettato secondo le più recenti specifiche di sicurezza funzionale prevede l'interpretazione di standard difficili e la scelta di terze parti per il supporto software.

In questo esempio, le configurazioni a due MCU possono consentire una semplice verifica della sicurezza tramite l'uso di software diagnostico. Questo scenario eliminerebbe la necessità, per i progettisti embedded, di sviluppare un software di sicurezza funzionale specifico per MCU.

La famiglia RX di microcontroller di Renesas Electronics è un esempio calzante. I microcontroller sono compatibili con lo standard di sicurezza funzionale IEC 60730 e facilitano le operazioni a sicurezza intrinseca nei dispositivi industriali asserviti. Renesas ha di recente aggiunto alla sua famiglia di MCU RX anche il software di sicurezza funzionale certificato IEC 61508 SIL3. Questa nuova funzione di sicurezza servirà tutti gli MCU Renesas basati sul core RXv2 dell'azienda.

La soluzione di sicurezza funzionale viene fornita con un kit software di sistema SIL3 che include una capacità di diagnostica reciproca che presuppone una struttura a due MCU e consente l'isolamento software tra funzioni sicure e non sicure (Figura 1). La progettazione di una struttura a doppi MCU si basa sui microcontroller RX71M e RX651

Figura 1: Renesas dichiara di essere in grado di ottenere la prima certificazione SIL3 al mondo eseguendo una diagnostica reciproca in un'architettura a due MCU. (Immagine per gentile concessione di Renesas Electronics)

Un altro microcontroller che offre la capacità di sicurezza funzionale necessaria per le applicazioni industriali è Hercules RM57Lx di Texas Instruments. Il dispositivo consente ai progettisti di conformarsi facilmente e rapidamente alla norma IEC 61508 e offre numerose funzioni di sicurezza per diverse applicazioni industriali, fra cui sistemi antiscivolo per aeromobili, controller a logica programmabile (PLC), motori e azionamenti e segnalazioni ferroviarie.

I microcontroller RM57Lx sono basati sulle caratteristiche di sicurezza dell'MCU Hercules, sono dotati di correzione degli errori a singolo bit e rilevamento degli errori a doppio bit che utilizza il codice di correzione errori (ECC) per le cache di istruzioni e dati e buffer RAM periferici selezionati.

Flash con sicurezza funzionale

La sicurezza funzionale è molto diffusa nel mondo dell'industria automobilistica ma, come dimostrano gli esempi di MCU di cui sopra, è molto importante anche per i progetti industriali, specie per quelli che operano su base 24/7/365. Di conseguenza, occorre tener conto della memoria flash, in quanto è un altro elemento cruciale per i sistemi industriali mission-critical. Anch'essa deve essere conforme agli standard di sicurezza funzionale applicabili. Nei progetti industriali, la memoria flash assume una rilevanza determinante per fornire un'archiviazione sicura e un accesso affidabile ai codici di sistema e ad algoritmi complessi.

Esistono architetture di memoria flash con più partizioni e ottimizzate in modo indipendente per un'elevata longevità e una conservazione a lungo termine. L'elevata longevità e una lunga conservazione dei dati sono capacità fondamentali per proteggere i progetti industriali dai guasti del sistema.

Ad esempio, la Flash NOR Semper™ di Cypress Semiconductor è costruita sull'architettura EnduraFlex dell'azienda (Figura 2). Consente oltre un milione di cicli di programmazione/cancellazione e la conservazione dei dati per almeno 25 anni a temperature estreme, da -40 °C a +125 °C. Per scritture di dati frequenti, l'architettura EnduraFlex mette a disposizione una partizione che può essere configurata per assicurare fino a 1,28 milioni di cicli di cancellazione del programma per parti con densità di 512 Mbit e 2,56 milioni di cicli per parti da 1 Gbit.

Figura 2: Il diagramma a blocchi dell'architettura della Flash NOR Semper evidenzia i componenti della sicurezza funzionale embedded e dell'affidabilità. (Immagine per gentile concessione di Cypress Semiconductor)

La Flash NOR Semper offre funzioni SafeBoot e di controllo degli errori per garantire operazioni industriali sicure e affidabili. Supporta anche ECC singolo e doppio generando un ECC embedded durante la programmazione dell'array di memoria. NXP Semiconductors è un fornitore di MCU che sfrutta la Flash NOR Semper per i suoi MCU industriali.

Set di strumenti di sicurezza funzionale

Questo ci porta all'ultimo tassello del puzzle: i set di strumenti per sistemi e dispositivi industriali cruciali per la sicurezza. I set di strumenti che servono i sistemi industriali embedded stanno ora recuperando il ritardo nei confronti della sicurezza funzionale.

Di pari passo con l'aumento costante di sistemi embedded con requisiti di sicurezza funzionale, cresce la necessità di strumenti di analisi di sicurezza che possano operare su componenti certificati di sicurezza funzionale e analizzare, ad esempio, i guasti con una causa comune.

Esistono tecniche di analisi quantitativa come l'analisi FMEDA (analisi delle modalità di guasto degli effetti e della diagnostica) che aiuta a determinare l'efficacia di un componente, come l'integrazione della sicurezza di un MCU. Ci sono inoltre strumenti software diagnostici che colmano la lacuna tra le misure di sicurezza dell'hardware e i requisiti di sicurezza stabiliti.

Ad esempio, Renesas utilizza una suite di strumenti certificati di IAR Systems per lo sviluppo del software diagnostico per applicazioni integrate. Come mostrato nella Figura 3, l'IAR Embedded Workbench per MCU RX include un compilatore e un debugger ad alte prestazioni che sono incorporati in un ambiente di sviluppo integrato (IDE) intuitivo.

Figura 3: Viene illustrato come IAR Embedded Workbench facilita lo sviluppo di software legato alla sicurezza per i microcontroller RX di Renesas. (Immagine per gentile concessione di IAR Systems Software)

I set di strumenti utilizzati per convalidare i sistemi safety-critical possono essere incentrati sugli aspetti di sicurezza rilevanti per migliorare l'affidabilità dei progetti industriali. Di solito sono dotati di un ricco contenuto grafico, di indicatori di avvertenza e di testo.

Ciò che conta è che la sicurezza deve essere progettata utilizzando sia l'hardware che il software. Fortunatamente, oggi gli sviluppatori hanno a disposizione entrambi questi componenti.