Importanța siguranței crește în toate domeniile tehnice. Prin urmare, dezvoltatorilor li se cere din ce în ce mai mult să proiecteze concepte de siguranță concludente, care să țină cont de fiecare componentă în parte, până la cele mai mici detalii. În centrul unui sistem se află microcontrolerele acestuia.
În ceea ce privește siguranța funcțională, IEC 61508 oferă specificațiile cheie. Acesta cuprinde o serie de standarde pentru “securitatea funcțională a sistemelor electrice/electronice/electronice programabile legate de siguranță”. În plus, există standarde ușor adaptate pentru anumite tipuri de aplicații, care sunt subordonate IEC 61508. Adaptarea certificării IEC 61508 la condițiile specifice din sectorul auto este dată de seria de standarde ISO 26262 – “siguranță electrică/electronică pentru sisteme existente în vehiculele rutiere”.
Numeroase caracteristici de siguranță
Pe lângă conformitatea cu standardele ISO 26262, în acord cu ASIL-D (Automotive Safety Integrity Level D), microcontrolerul Aurix pe 32-biți de la Infineon a fost, de asemenea, dezvoltat ca un dispozitiv SEooC (Safety Element out of Context – Element de siguranță în afara contextului). Aceasta înseamnă că dispozitivele derivate din gama Aurix pot fi integrate într-un sistem de siguranță complex datorită caracteristicilor de siguranță cu care acestea au fost înzestrate.
A doua generație a gamei de microcontrolere Aurix este fabricată în tehnologie embedded flash de 40nm și este complet calificată pentru industria auto. Mulțumită celor șase nuclee de procesor TriCore, cu până la 300 MHz, acesta oferă o putere de calcul mult mai mare decât cea a predecesorului său (prima generație, TC2x: 740 DMIPS; a doua generație, TC3x: 2400 DMIPS).
Setul de caracteristici de siguranță funcțională de care dispune microcontrolerul Aurix îl fac destul de atractiv pentru multe aplicații industriale. Următoarele caracteristici de siguranță hardware și software asigură că microcontrolerul Aurix este foarte potrivit pentru aplicațiile critice pentru siguranță:
- Nuclee checker
- Flash & RAM ECC (Error Correcting Code – Cod de corectare a erorilor)
- SRI (crossbar) sigură
(n.red.: SRI crossbar este o magistrală de date de mare viteză cu o lățime de bandă pe 64-biți și poate funcționa la frecvența maximă a sistemului) - Monitorizarea tensiunii, frecvenței și a periferiei
- Unitate de management a siguranței (SMU – Safety Management Unit)
- Manager de siguranță SafeTpack
- LBIST (Logic Built-In Self-Test)
Caracteristici de siguranță
Nucleele checker rulează în background și monitorizează procesorul. Toate operațiunile sunt executate de două ori. În cazul în care se obțin rezultate diferite, unitatea SMU emite un mesaj de eroare.
Ambele memorii, Flash și RAM, au integrate funcții ECC. Această procedură de detecție a erorilor determină dacă există o eroare legată de stocarea sau transmiterea datelor. Dacă se detectează o astfel de eroare, aceasta poate fi corectată.
Prin SRI (Shared Resource Interconnection), cunoscută și sub numele de (magistrală) crossbar, datele sunt transmise înainte și înapoi între nuclee și memorie. Aceste conexiuni sunt securizate prin mecanisme hardware sub formă de conexiuni ‘end-to-end’.
A doua generație de microcontrolere Aurix se bazează pe o tensiune de operare de 3.3V și o frecvență de 300 MHz. Dacă toleranțele admise sunt depășite, este generată o alarmă. Dispozitivele periferice pot fi, de exemplu, monitorizate prin intermediul unui CRC (Cyclic Redundancy Check). Sumele de verificare sunt utilizate pentru a verifica transmiterea corectă a datelor în timpul acestei proceduri.
Deoarece microcontrolerul Aurix dispune de un IP integrat hardware, Unitatea de Management a Siguranței (SMU) este responsabilă cu înregistrarea, procesarea și evaluarea tuturor erorilor legate de siguranță.
SafeTpack – dezvoltat de Hitex – este un puternic manager de siguranță cu care este dotată a doua generație de microcontrolere Aurix. Acesta coordonează executarea testelor ciclice și de punere în funcțiune, asigurând funcționarea corectă a nucleelor procesorului Aurix și a magistralelor interne, printr-un amestec de module hardware și software.
Self-testerul logic integrat (LBIST) face parte din biblioteca de software SafeTpack. Acesta oferă dezvoltatorilor posibilitatea de a se asigura că microcontrolerul Aurix funcționează corect de fiecare dată când acesta este pornit.
Toate caracteristicile hardware și software enumerate mai sus creează un nivel de siguranță ce nu poate fi atins cu ușurință de un microcontroler standard.
Implementarea siguranței funcționale
Cu toate acestea, siguranța funcțională nu poate fi realizată doar de către microcontroler; acesta trebuie privit, mai degrabă, ca o componentă centrală a întregului proiect. Siguranța sistemului poate fi garantată numai atunci când dezvoltăm un concept de siguranță de la bun început și îl urmărim cu intensitate. Acest proces complex poate fi rezumat în cinci etape.
- Efectuarea unor analize de hazard și risc
Analizele de risc trebuie să determine măsura în care sunt luate în considerare aplicațiile critice în materie de siguranță și măsura în care trebuie respectate în raport cu cerințele legale de siguranță funcțională. În acest scop, sunt disponibile o varietate de metode. De exemplu, HARA (Hazard Analysis and Risk Assessment) este foarte populară. Poate fi utilizată pentru a determina dacă un sistem este un sistem relevant pentru siguranță și, dacă da, cât de mare este gradul de relevanță pentru siguranță.
- Definirea nivelului cerințelor de siguranță
În funcție de standard, există diferite niveluri de cerințe de siguranță. Pentru aplicațiile industriale, IEC 61508 definește așa-numitul nivel de siguranță SIL (Safety Integrity Level), care conține patru niveluri de siguranță, de la SIL1 până la SIL4. Nivelul relevant poate fi determinat într-o matrice, utilizând combinația de parametri “dimensiunea daunei”, “durata menținerii daunei”, “protecția împotriva pericolului” și “probabilitatea apariției”.
În mod similar, ISO 26262 definește criteriile de siguranță adecvate pentru industria auto. În acest caz, nivelurile de siguranță sunt denumite ASIL-A la ASIL-D.
- Determinarea componentelor și implementarea proiectului
Pentru implementarea aplicației dorite este aleasă componenta cea mai potrivită. Pentru atingerea acestui obiectiv, trebuie luate în considerare funcțiile specifice de siguranță. Puteți, apoi, să proiectați layout-ul plăcii și să o populați în consecință. După ce hardware-ul a fost configurat, poate fi implementat software-ul. Un concept de siguranță concludent trebuie dezvoltat și pus în practică, mai ales atunci când programăm microcontrolerul, deoarece acesta este unitatea centrală de control.
- Validarea funcției de siguranță
Procedura de validare arată dacă toate funcțiile relevante pentru siguranță funcționează corect – adică fiecare funcție individuală, independent de sistemul general. Dacă una sau mai multe funcții nu funcționează conform specificațiilor, acestea pot fi revizuite în timpul fazei de dezvoltare. Procedura se repetă de câte ori este necesar până când toate funcțiile de siguranță îndeplinesc cerințele.
- Confirmarea siguranței
Confirmarea este a doua parte a verificării, care are loc după validare. Aceasta implică verificarea funcționării fără cusur a sistemului folosind liste de verificare. Spre deosebire de validare, confirmarea are în vedere sistemul ca întreg. Autoritățile de certificare independente, precum TÜV din Germania, susțin acest pas și certifică siguranța în conformitate cu cerințele legale.
Suport complet din partea rețelei de parteneri
Programarea unui microcontroler complicat, precum Aurix, este destul de complexă, mai ales atunci când se adaugă aspecte de siguranță. Pentru a sprijini dezvoltatorii și a accelera programarea, Infineon a dezvoltat conceptul PDH (Preferred Design House) pentru toți clienții. O prezentare generală a tuturor companiilor partenere incluse în PDH și a expertizei acestora este listată pe www.infineon.com/pdh.
Modelul PDH include servicii de asistență gratuite și plătite. De exemplu, clienții primesc gratuit asistență de nivel 1, precum și servicii de consultanță și instruire, în timp ce implementarea completă a componentelor hardware și software este disponibilă pentru clienți contra cost. Partenerul Rutronik – Hitex – oferă, de asemenea, un suport corespunzător. De-a lungul anilor, compania și-a câștigat reputația de specialist în domeniul siguranței funcționale. În timp ce Rutronik oferă clienților un suport complet în faza de dezvoltare, aceștia se bucură de o asistență permanentă oferită Hitex pentru implementarea completă și de succes a unei funcționalități complexe.
Autor: David Werthwein, Product Manager Digital
Rutronik | https://www.rutronik.com