EO_472

DIGITAL SAFETYCRITICAL SYSTEMS 60 - ELETTRONICA OGGI 472 - SETTEMBRE 2018 L e specifiche relative ai sistemi embedded “sa- fety critical” sono spesso definite per un parti- colare comparto industriale e soggette a stan- dard rigorosi. Non esiste spazio per gli errori a livello sia hardware sia software. Tra le applicazioni tipiche si possono segnalare in generale quelle nell’ambi- to dei trasporti – treni, bus, navi, e aeroplani – oltre a complesse applicazioni nei settori dell’automazione industriale, della tecnologia medicale e dell’energia. In contesti di questo tipo la sicurezza funzionale (fun- ctional safety) assume un’importanza cruciale. Una domanda che sorge spontanea è se sia possibile, at- traverso la progettazione, proteggere un sistema con- tro tutti i rischi conosciuti. Questi includono sia guasti di natura randomica prodotti da malfunzionamenti dei componenti, effetti EMC, oppure radiazioni cosmiche, o ancora potenziali errori di progetto che possono es- sere evitati nel corso dello sviluppo mediante l’adozio- ne di processi appropriati. Un altro quesito è relativo alla possibilità di certificare i sistemi in conformità agli standard di sicurezza in vigore in differenti mercati nonostante il fatto che la maggior parte dei compo- nenti standard disponibili non siano stati progettati per soddisfare i requisiti di questi standard. Ottenere la certificazione in maniera autonoma è un compito solitamente molto laborioso, specialmente nel caso di componenti complessi. A volte questo processo richiede la cooperazione da parte dei produttori dei componenti che devono for- nire i dettagli necessari relativi ai processi di produ- zione. Una collaborazione di questo tipo, in ogni caso, non è scontata. Non bisogna dimenticare che per la maggior parte dei fornitori dei componenti standard utilizzati nei sistemi di elaborazione embedded la si- curezza funzionale rappresenta un mercato di nicchia. Quindi è necessario individuare un metodo che per- metta di aggirare questo ostacolo e sviluppare in ogni caso sistemi sicuri dal punto di vista funzionale. Un’alternativa al test retroattivo di component standard Al momento attuale l’unica alternativa possibile al col- laudo retroattivo di componenti standard è rappresen- tata dall’uso di FPGA (Field Programmable Gate Array) per ridefinire le funzioni in conformità agli standard di sicurezza appropriati. Si tratta della soluzione ideale per soddisfare i requisiti “safety-critical” di settori in- dustriali specifici. L’utilizzo degli FPGA consente inol- tre di sviluppare progetti personalizzati per la realizza- zione di piccoli lotti di produzione in modo efficiente ed economico. Ciò fa di questi componenti la base ideale per assicurare la sicurezza funzionale richiesta dalla specifica applicazione considerata. Un vantaggio di assoluto rilievo degli FPGA è rappresentato dal fatto che non tutto deve essere sviluppato ogni volta “a par- tire da zero”. Abbinando in modo opportuno blocchi IP funzionali è possibile ridurre sia i costi sia i tempi di sviluppo. Ciò è valido non solo per un progetto basato su un FPGA specifico, ma anche per progetti di schede e sistemi che prevedono più FPGA i quali integrano le singole funzionalità richieste attraverso un’opportuna “messa a punto” dei rispettivi FPGA. Simulazione degli errori e test comportamentali Prima di poter procedere alla qualificazione e alla certi- ficazione di un progetto safety-critical, è necessario for- nire una prova del suo comportamento in caso di guasto. Si tratta di un compito relativamente semplice grazie alla disponibilità dei tool di sviluppo per FPGA: in questo am- biente di sviluppo virtuale per FPGA è possibile produrre errori seri o comunque complessi al fine di collaudare il comportamento del sistema in presenza dell’errore o verificare se il sistema ha un comportamento definito quando l’errore si manifesta. Sebbene questa forma di simulazione non sia prassi comune nel settore del sof- tware, essa rappresenta uno strumento base nel progetto con FPGA, dove è utilizzata nel corso dello sviluppo stan- Sicurezza funzionale: il ruolo degli FPGA L’elettronica viene definita “safety-critical” quando eventuali guasti o malfunzionamenti possono mettere a rischio la vita delle persone o provocare gravi danni ambientali e/o materiali. I sistemi “safety-critical”, quindi, devono garantire un funzionamento affidabile in ogni momento e la sicurezza funzionale può essere ottenuta mediante l’utilizzo di FPGA Michael Henze