EMB_72

EMBEDDED MAGGIO 38 SOFTWARE | FUNCTIONAL SAFETY I sistemi a elevate prestazioni utilizzati nelle applicazioni critiche sono in genere dotati di più processori, molti dei quali con architettura mul- À minima viene generalmente utilizzato un sistema operativo in tempo reale (RTOS). Ad ogni modo, nella scelta del sistema operativo occorre prendere in considerazione anche la capacità di supportare la sicurezza funzionale (FuSa, Functional Safety ). Il secondo problema è la necessità di garantire la sicurezza funzionale a livello generale, che vale sia per l’hardware sia per il software di un sistema ad alte prestazioni. Uno dei prerequisiti del software in esecuzione su una determinata piattaforma hardware è che l’hardware stesso svolga la sua funzione ed ese- gua il codice correttamente. Tuttavia, una volta implementato, il sistema potrebbe incontrare al- cuni disturbi, causati ad esempio dell’ambiente o dall’invecchiamento del sistema. Di conseguenza, il sistema stesso deve occuparsi anche dei guasti hardware occasionali, il che determina la necessi- tà di disporre di un’architettura di sicurezza. In genere, i sistemi ad alte prestazioni non vengono progettati per garantire una tolleranza agli errori La sicurezza funzionale nei sistemi a elevate prestazioni Marcus Nissemark Field Applications Engineer Green Hills Software e non implementano funzioni di autodiagnostica a livello hardware 9 % À - lizzare una tipica architettura di sistema 1oo1D, aggiungendo una copertura diagnostica separata per rilevare i guasti, come viene illustrato nella À% 6 La diagnostica consente di rivelare e con- vertire un evento pericoloso in un guasto sicuro, . # % À nel sistema e nell’hardware sottostante. Ciò, a sua volta, può aumentare il livello di integrità della sicurezza (SIL) del sistema. Si tratta di uno sforzo importante e complesso, e comprendere il conte- sto della sicurezza non è banale. Occorre tenere in considerazione questi aspetti sin dalla fase di % N À - À # Riduzione dei rischi tramite separazione Occorre pertanto ridurre i rischi per ottenere un sistema più robusto. Gli standard di sicurez- za funzionale permettono di separare le funzioni raggruppandole in elementi diversi, con ciascun elemento che può essere trattato con un diverso livello di criticità, purché il metodo di separazio- ne garantisca l’immunità alle interferenze. Anche i canali diagnostici possono essere separati, per À # % - curezza. Il modo più semplice di separarli è divi- derli in tipi di componenti hardware, come CPU multiple, o distribuire le funzioni tra i core di ela- borazione eterogenei delle CPU presenti nei mo- derni dispositivi integrati SoC ( System on Chip ). La ripartizione delle funzioni tra i core omogenei ! $À N Nella scelta del sistema operativo occorre prendere in considerazione anche la capacità di supportare la sicurezza funzionale Fig. 1 – Tipica architettura di sistema 1oo1D