Aplicațiile privind siguranța funcțională (FuSa – Functional Safety) au nevoie platforme de calcul embedded mai puternice, datorită tehnologiei senzorilor integrați, care necesită din ce în ce mai multă performanță. Acesta este motivul pentru care procesoarele multi-nucleu, cum ar fi procesoarele Intel Atom calificate pentru FuSa, sunt atât de atractive în prezent.
Roboții colaborativi au nevoie de performanțe de calcul ridicate pentru conștientizarea situației. (©congatec)
De asemenea, acestea pot fi utilizate pentru a consolida funcțiile noncritice pe un singur sistem mixt critic, ceea ce reprezintă un avantaj major. Dacă există, de asemenea, computere pe modul (Computer-on-Module – COM) care să susțină funcțiile FuSa ale acestor procesoare, fabricanții de echipamente originale beneficiază de blocuri de construcție gata pregătite pentru aplicații, care sunt deja complet calificate pentru certificarea de siguranță a aplicațiilor clienților lor și care pot fi adaptate la performanța necesară. congatec este una dintre primele companii care fabrică astfel de dispozitive COM.
Senzorii de conștientizare a situației sunt, fără îndoială, cei mai importanți factori aflați în spatele cererii tot mai mari de performanță în aplicațiile de siguranță funcțională. Să luăm, de exemplu, aplicațiile cu coboți. Aici, senzorii și switch-urile calificate FuSa nu sunt necesare doar pentru a opri roboții atunci când intră în cușca din zona de producție. Mai degrabă, orice mișcare trebuie să fie detectată. Prin urmare, utilizarea roboților colaborativi și a vehiculelor logistice autonome în producție necesită, de asemenea, procesarea și analiza datelor de la camere, lidar și laser. Acest lucru implică din ce în ce mai mult utilizarea inteligenței artificiale. Uneori, aceste date trebuie comparate cu datele de geopoziție provenite de la alți senzori pentru a permite efectuarea de manevre evazive atunci când sunt respectați anumiți parametri predefiniți.
Toate acestea trebuie să se desfășoare în timp real și, mai mult, într-o manieră sigură din punct de vedere funcțional. Și nu toate exemplele sunt la fel de elaborate precum vehiculele autonome. Chiar și o oglindă retrovizoare digitală, instalată pe un camion industrial operat de un șofer uman, este un senzor complex. Pentru a fi sigură din punct de vedere funcțional, aceasta trebuie să fie controlată în permanență pentru a confirma că funcționează corect. La urma urmei, o imagine înghețată ar putea face ca șoferul să judece complet greșit situația.
Tehnologie de senzori din ce în ce mai performantă
Este adevărat că blocurile funcționale cu performanțe ridicate utilizate în mediile de siguranță funcțională nu trebuie să fie întotdeauna sigure din punct de vedere funcțional. De exemplu, se discută despre cum să se implementeze detectarea mediului în vehicule, fără constrângerile impuse de ISO26262 [1]. Nu există, însă, nicio îndoială că acestea necesită semnificativ mai multă performanță pentru a interacționa cu soluțiile sigure din punct de vedere funcțional decât au avut vreodată nevoie elementele sigure din punct de vedere funcțional ale unui sistem pentru a reveni la nivelul de siguranță.
În prezent, este nevoie de mai multă performanță în primul rând în cazul aplicațiilor care au nevoie de cunoașterea situației cu ajutorul inteligenței artificiale. Conectivitatea în timp real a unor astfel de sisteme sporește, de asemenea, nevoia de un debit de date rapid și cu latență redusă, de exemplu atunci când logica de control de nivel superior este utilizată pentru sistemele cu ghidare autonomă care sunt conectate prin intermediul rețelelor 5G private.
Sistemele critice mixte sunt în creștere
Spre deosebire de controlerele FuSa tradiționale, procesoarele de aplicații de astăzi trebuie, inevitabil, să fie capabile să găzduiască și interfața grafică a sistemului, pe lângă conștientizarea situației și inteligența artificială. În cazul utilajelor mobile, de exemplu, ar fi vorba de sistemele de asistență pentru șoferi. Tocmai acest lucru face ca tehnologia x86 să fie foarte interesantă pentru astfel de sisteme critice mixte. În primul rând, pentru că se așteaptă ca această tehnologie generică de procesoare multi-nucleu să cunoască în continuare o dezvoltare omogenă. Și nu în ultimul rând, pentru că primele procesoare de acest tip integrează astăzi controlere cu funcții FuSa. De exemplu, tehnologia procesorului Intel Atom x6000E este deja calificată pentru a suporta aplicații care necesită certificare analogică în conformitate cu IEC 61508 Safety Integrity Level 2 (SIL2).
Domeniile de aplicare pentru SIL2 se regăsesc în mașinile industriale, roboții colaborativi și produsele din Industrie 4.0, cum ar fi gateway-urile IoT și serverele edge. Alte piețe decurg din cerințele intralogisticii automatizate pentru vehiculele logistice autonome și variază de la mobilitatea fabricilor la toate noile piețe găsite în cadrul conducerii autonome, de la mașini agricole și de construcții la vehicule urbane inteligente, AUV-uri și UAV-uri. Nu în ultimul rând, piețele țintă includ, de asemenea, dispozitive medicale, precum și hardware pentru controlul trenurilor și al căilor ferate sau pentru avionică. În aceste domenii este necesară certificarea de siguranță, de exemplu, pentru a preveni accidentele sau rănile cauzate de șocuri electrice, incendii și explozii sau de strivire sau impact. Acest lucru face ca redundanța și capacitatea de a pune în aplicare procese de siguranță să fie o necesitate.
Computere pe modul sigure din punct de vedere funcțional
Prin urmare, producătorii de tehnologie de computere embedded își califică din ce în ce mai mult oferta pentru siguranța funcțională. De exemplu, organismul de standardizare PICMG – care este responsabil pentru factorii de formă ai computerelor embedded, cum ar fi COM-HPC și COM Express – a anunțat la “embedded world” 2022 o extensie FuSa la specificația hardware COM-HPC. Aceasta definește pinouturile de semnal pentru a suporta aplicațiile FuSa – foarte important pentru a putea suporta insulele de siguranță (Safety Island) certificate FuSa ale chipseturilor moderne sau ale sistemelor pe cipuri (SoC). Aceasta este o parte specială a hardware-ului care este separată de chipset-ul principal sau de SoC, împreună cu firmware-ul și software-ul de suport. “Safety Island” monitorizează starea și statusul chipsetului principal sau al SoC-ului și raportează rezultatele, de exemplu prin intermediul GPIO-urilor dedicate FuSa și al unei interfețe “slave” FuSa SPI dedicate către un controler de siguranță sau un agent de siguranță al sistemului FuSa, care este implementat ca “master” FuSa SPI pe placa purtătoare și care pregătește informațiile de siguranță și status pentru o utilizare ulterioară. Specificația finală este așteptată până la sfârșitul anului sau cel târziu la începutul anului 2023.
Mașini virtuale sigure din punct de vedere funcțional
Real-Time Systems (RTS) a promis la expoziția “embedded world” să abordeze FuSa cu produsul său RTS Safe Hypervisor, un hipervizor de tip 1 independent de sistemul de operare pentru tehnologia procesoarelor x86, care va fi certificat pentru siguranță funcțională. Acesta vizează sarcinile de lucru critice mixte bazate pe tehnologia procesoarelor multi-nucleu x86 și va fi disponibil la nivel mondial. Combinând hipervizorul în timp real certificat cu mașini virtuale sigure din punct de vedere funcțional și cu altele non-sigure, alături de un sistem de operare sigur certificat, cum ar fi Zephyr bazat pe Linux sau QNX, acesta va fi livrat ca un pachet OEM complet. Acest pachet se adresează oricărei platforme de calcul embedded comerciale sau personalizate echipate cu procesoare x86 compatibile cu FuSa. Implementările inițiale se vor baza pe procesoarele Intel Atom din seria x6000E cu Intel Safety Island integrat. O extindere la produse bazate pe procesoare Intel Core din generația a 11-a este o altă opțiune pentru viitor.
Scopul RTS este de a oferi dezvoltatorilor cea mai eficientă cale de a ajunge la aplicații complet funcționale și conforme cu cerințele de siguranță prin furnizarea de platforme pre-certificate. Tehnologia hipervizorului securizat în timp real este esențială în acest sens, conectând totul, de la hardware securizat, mașini virtuale securizate de tip 1 și sisteme de operare securizate la domenii nesecurizate, care rulează sisteme de operare multifuncționale. În cele din urmă, dezvoltatorii de aplicații trebuie să se preocupe doar de partea de siguranță critică a aplicației lor pentru a obține certificarea siguranței funcționale.
Producătorii de echipamente originale care utilizează astfel de platforme hardware pentru proiecte de aplicații critice mixte economisesc costuri, deoarece sunt mai puține sisteme de implementat, ceea ce duce la o îmbunătățire a timpului mediu între defecțiuni (MTBF) în comparație cu instalațiile cu mai multe sisteme. Un alt beneficiu este faptul că dezvoltatorii pot gestiona aplicații critice și necritice pe un singur cip sau hardware, ceea ce facilitează dezvoltarea și testarea aplicațiilor, precum și schimbul de date între aceste aplicații. Și, în ciuda abordării cu un singur sistem, o astfel de implementare a unui hipervizor permite ca toate aplicațiile care nu sunt critice din punct de vedere al siguranței să fie actualizate și modificate în permanență, fără a fi necesară recertificarea componentelor critice din punct de vedere al siguranței. Acest lucru este absolut esențial – nu numai pentru inovare, ci și pentru o securitate cibernetică sporită.
Sisteme de operare în timp real pentru siguranță și securitate cibernetică
congatec și-a confirmat intenția de a investi semnificativ pe piața siguranței funcționale. Într-o etapă anterioară, la sfârșitul anului 2021, compania anunțase deja un parteneriat strategic cu SYSGO, principalul furnizor european de sisteme de operare sigure în timp real. Scopul acestei cooperări este de a oferi nu numai platforme de soluții pentru x86, ci și pentru procesoarele ARM, care sunt special adaptate la cerințele de siguranță funcțională și securitate cibernetică. Primele implementări, care, în funcție de proiect, pot fi certificate până la ASIL B sau SIL 2, vor fi disponibile pe computere pe modul x86 și ARM Cortex. Un caz tipic de utilizare este elementul de siguranță în afara contextului (SEooC – Safety Element out of Context), așa cum este definit de ISO 26262.
Oferta de servicii complete furnizată în cadrul noului acord de parteneriat a fost creată pentru a simplifica și scurta procesul de dezvoltare a sistemelor critice din punct de vedere al siguranței. Aceasta include un sprijin cuprinzător pentru certificarea diferitelor standarde de siguranță analogice cu IEC 61508 pentru sistemele electronice de siguranță funcțională. Sunt suportate platformele bazate pe SYSGO PikeOS RTOS și hipervizor SYSGO PikeOS pentru aplicații feroviare (EN 50129 / EN 50657), vehicule comerciale și agricole (ISO 26262), tehnologie de aviație civilă (DO 254), precum și PLC-uri în domeniul automatizării și controlului proceselor (IEC 61508) și aplicații medicale (IEC 62304).
Tehnologia procesorului Intel Atom x6000E pe COM-uri
Combinația dintre tehnologia de procesor cu siguranță funcțională și sistemele de operare/hipervizoare devine deosebit de atractivă atunci când este furnizată pe computere pe modul gata pentru utilizare. congatec a prezentat un exemplu de astfel de module FuSa la expoziția “embedded world” în cadrul unei demonstrații live. Această aplicație demonstrativă FuSa a prezentat modulul COM Express Mini conga-MA7 pregătit pentru siguranță funcțională, cu procesor Intel x6427FE calificat FuSa, cu suport Safety Island, în combinație cu hipervizorul RTS și Linux în timp real integrat. Demonstrația FuSa de la “embedded world” a fost o dovadă impresionantă a progresului deja realizat de congatec în procesul de calificare a primelor module computerizate bazate pe tehnologia procesorului Intel Atom x6000E (denumit anterior Elkhart Lake). OEM-urile pot începe deja să implementeze modulele și BSP-urile congatec calificate din punct de vedere al siguranței funcționale în platformele lor de aplicații, împreună cu propriile componente software. Compania congatec este, de asemenea, pregătită să sprijine clienții OEM cu orice personalizare care ar putea fi necesară pentru a îndeplini cerințele specifice de certificare – de la selectarea componentelor și implementarea pe plăci purtătoare (carrier boards), până la suportul pentru sistemul de operare și hipervizor sau implementarea driverelor I/O.
Atingerea mai rapidă a obiectivului cu module de soluții precertificate
Pentru a califica computerele pe modul pentru funcționarea în condiții de siguranță, toate componentele, precum și întregul BSP trebuie să fie pregătite pentru certificarea FuSa – inclusiv manualele de siguranță și toate celelalte documente necesare. Toate procesele și documentele organizaționale create în timpul dezvoltării și testării – cum ar fi FMEDA (Failure Modes, Effects and Diagnostic Analysis) și procesul de verificare și validare (V&V) – trebuie, de asemenea, să fie aduse în conformitate cu cerințele de certificare și revizuite de evaluatori externi. congatec oferă toate acestea din start, astfel încât clienții să poată începe imediat proiectele FuSa pentru a ajunge mai repede pe piață, pentru a face economii și pentru a reduce costurile și riscul de implementare.
Platformele multi-nucleu embedded bazate pe x86 oferă astfel un ecosistem solid pentru siguranța funcțională. Ceea ce face ca acest ecosistem să iasă în evidență, în special, sunt foile de parcurs omogene ale procesoarelor, care nu sunt legate de un singur producător de procesoare. De asemenea, modulele COM (Computer-on-Module) standardizate oferă fundația pentru scalarea performanței pe toate tipurile de procesoare și producători. OEM-urile care implementează computere pe modul precertificate pentru siguranță funcțională ca blocuri de construcție gata pentru aplicații – inclusiv toate componentele software relevante, cum ar fi sistemul de inițializare (bootloader-ul), hipervizorul și BSP –pot, de asemenea, să economisească timp și bani. Tot ceea ce trebuie să facă este să califice placa purtătoare specifică clientului și adaptările pentru certificare.
Despre autor
Zeljko Loncaric, este inginer în cadrul departamentul de Marketing al companiei congatec.
[1] Sursă: Elektroniknet.de, Roland Rathmann, 5 mai 2021, preluat la 12 iunie 2022 https://www.elektroniknet.de/automotive/assistenzsysteme/umwelterkennung-nach-iso-26262.186049.html