1 60 Table of Contents 62 102

EO_472

SAFETY-CRITICAL SYSTEMS DIGITAL dard di progetti che non hanno requisiti di sicurezza funzionale. Sotto questo aspetto, quindi, non sono richieste risorse aggiuntive in termini di toolchain. La simulazione inoltre può essere utilizzata non solo per verificare il comportamento desiderato in presenza di errori, ma anche per dimostrare la corretta implementazione di una funzione. In questo modo è possibile generare report di simulazione completi da sottoporre ai fornitori di servizi di certificazione tecnica come TÜV. Implementazione di funzioni di monitoraggio e controllo avanzate Anche il monitoraggio delle condizioni adeguate è un fattore estrema- mente importante nelle applicazioni safety-critical in quanto rappresen- ta l’unico modo per rilevare malfunzionamenti e dare avvio alle azioni appropriate. Le temperature, il funzionamento dei componenti o la rice- zione dei dati sono elementi che devono essere monitorati e analizzati al fine di attivare una stato sicuro nel momento in cui si verificano de- viazioni dai parametri di riferimento impostati – ad esempio effettuare lo shut-down di una macchina o arrestare la marcia di un treno in maniera controllata. I componenti standard utilizzati per controllare gli I/O, come ad esempio le interfacce seriali o i GPIO, raramente rendono disponibili le funzioni di monitoraggio necessarie per garantire la conformità alle specifiche dello standard ferroviario EN 50129 o a quelle dello standard IEC 61508 per sistemi elettronici con requisiti di sicurezza funzionale. Tali funzioni possono essere mappate in maniera molto efficiente in un FPGA nel caso non siano disponibili microcontrollori adatti. Nel momen- to in cui tali funzioni di monitoraggio sono integrate in un FPGA, sono liberamente configurabili e possono quindi essere adattate in modo da soddisfare le specifiche necessità dell’applicazione. Si tratta, come si può intuire, di un notevole vantaggio rispetto ai microcontrollori. Disponibilità sul lungo termine e riduzione del rischio di obsolescenza La massima “non bisogna cambiare un sistema che funziona” ben si adatta ai sistemi che devono garantire la sicurezza funzionale. In pri- mo luogo, la verifica di conformità agli standard di sicurezza funzio- nale è un compito complesso che deve essere ripetuto ogni qualvolta vengono apportate modifiche. Quindi, si tratta anche di un processo costoso. In secondo luogo, ogni modifica comporta inevitabilmente il rischio di introdurre un nuovo errore. Pro- prio per questo moti- vo i sistemi vengono utilizzati invariati per Questo SBC con 16 core e un’interfaccia VMEbus basata su FPGA è un esempio di scheda MEN realizzata facendo ricorso a FPGA 61 - ELETTRONICA OGGI 472 - SETTEMBRE 2018

RkJQdWJsaXNoZXIy MTg0NzE=