Download - Safety_ES
-
7/24/2019 Safety_ES
1/2
ACTUALIZACIN DELA LEGISLACIN
Qu es la seguridad uncional?Hubo un momento en que la seguridad en la electrnica, en particular en
el mercado domstico, significaba poco ms que el riesgo de descargas
elctricas y fijar la potencia nominal para evitar el sobrecalentamiento
y que se quemaran los componentes. Por ejemplo, no hace mucho el
nico equipo electrnico de un coche era la radio y no era necesario
que fuese "funcionalmente segura". Si la radio dejaba de funcionar, nogeneraba un problema de seguridad. Por otro lado, unos resultados
extraos e inesperados del sistema de control dinmico de la estabilidad
o del sistema de distribucin de la fuerza de frenado es probable que
tengan consecuencias fatales. De ah la obligacin de cumplir con las
normas del estndar IEC 61508, o las versiones ms especficas de la
aplicacin, como el ISO 26262 para vehculos. El ISO 26262 acaba de
entrar en vigor y los desarrolladores de sistemas de automocin deben
asegurarse de que sus productos cumplen con sus disposiciones.
Las implicaciones del cumplimientoLa seguridad no es barata. Al embarcarse en un proyecto para desarrollar
y fabricar un sistema que debe ser funcionalmente seguro, se debe
entender que la norma de seguridad pertinente se debe cumplir en todo
momento, desde el diseo inicial hasta las pruebas finales. Cuando
se trabaja con un diseo embebido, resulta tentador interpretar la
declaracin de cumplimiento de la norma ISO 61508 SIL 3 del fabricantede chips microcontroladores como que el uso de este dispositivo har
que todo el sistema cumpla con la norma. No es as en absoluto: el
sistema completo debe cumplir con la norma, no solo los componentes
individuales, es decir tambin el hardware y el software. Un software
correctamente diseado no "se desgasta" ni sufre fallos aleatorios.
Un software que se ha probado de manera inadecuada presenta a
menudo fallos aleatorios aparentes una vez en servicio, a veces, meses
ms tarde, causados muchas veces por desbordamientos de pila. Las
normas proporcionan orientacin sobre el nivel de pruebas sistemticas
necesario para lograr una calificacin de seguridad concreta.
Las disposiciones de las normas de seguridad uncional Proporcionar procesos para valorar los riesgos
y asignar los objetivos de seguridad.
Ayudar a reducir los fallos sistemticos proporcionandoorientacin sobre las mejores prcticas de desarrollo.
Proporcionar marcos de trabajo para analizar
las tasas de fallos aleatorios.
Proporcionar marcos de trabajo para analizar
la efectividad de los diagnsticos.
Proporcionar procedimientos para garantizar que los niveles de
seguridad se mantienen una vez que se entrega el sistema.
Nivel de integridad de la seguridad (IEC 61508)Una de las primeras tareas relacionadas con la seguridad funcional
a la hora de desarrollar un sistema consiste en llevar a cabo una
evaluacin de los riesgos y peligros de la aplicacin. Esto significa
derivar la cifra aceptable de la probabilidad de que se detecte cualquier
fallo y de que el sistema sea por lo menos a prueba de errores.
Esta cifra es la fraccin segura de averas (SFF) y determina el nivel
de integridad de la seguridad (SIL). El valor de SFF depende de la
tecnologa del diseo y del tipo de tolerancia a fallos del hardware.
Tipo A, en el que todos los mecanismos de fallo son conocidos.
Tipo B, en el que hay algunos mecanismos de fallo desconocidos.
Se asume que la mayora de semiconductores sern del tipo B.
Tabla 1. Niveles de integridad de la seguridad alcanzable con una SFF
calculada y un nivel planicado de tolerancia a fallos del hardware.
Se puede observar que cuanta ms tolerancia a fallos se crea en el sistema,
por ejemplo con redundancia modular triple, menor es la SFF que se
requiere para satisfacer un determinado objetivo SIL. Esto no significa
que deban especificarse componentes de baja calidad en arquitecturas
tolerantes a fallos. Se trata, despus de todo, de estndares de seguridad y
no de fiabilidad. Estn diseados para asegurar un funcionamiento seguro
y, si es necesario, cuando se producen fallos, una parada segura. El diseo
de un sistema informtico para un robot espacial debe ser fiable y tener una
disponibilidad mxima. Las tcnicas de redundancia de hardware se puedeutilizar para mejorar la disponibilidad, pero no si se utilizan componentes
con un alto ndice de avera. Incluso en la Tierra, los propietarios de
vehculos se disgustan si el coche que acaban de comprar se pasa la
mayor parte del tiempo en el taller aunque las averas sean seguras!
Un microcontrolador que cumple la IEC 61508 SIL 3:Texas Instruments TMS570El TMS570 es un microcontrolador de doble ncleo que est
diseado para formar parte de un sistema que cumpla con SIL 3.
Para lograr SIL 3, se incorpora una extensa lgica de comprobacin
de errores y correccin junto con circuitos de prueba integrados
y, finalmente, la duplicacin de los ncleos del procesador.
24 eTech - NMERO 11
Un sistema electrnico uncionalmente seguro producir una salida predecible en respuesta acualquier conjunto de entradas. Todos los sistemas que pretendan ser uncionalmente segurosdeben ser desarrollados y validados con respecto a la norma internacional IEC 61508.Seguridad uncionalPor el Dr. William Marshall, RS Components
SFF Tolerancia a allos del hardware
0 1 2
< 60% - SIL 1 SIL 2
60% a < 90% SIL 1 SIL 2 SIL 3
90% a < 99% SIL 2 SIL 3 SIL 4
99% SIL 3 SIL 4 SIL 4
-
7/24/2019 Safety_ES
2/2
Comparta sus opiniones...www.designspark.com/eTech
ACTUALIZACIN DLA LEGISLACI
eTech - NMERO 11 2
ECC corrige errores de memoria de 1 bit en ejecucin
ECC detecta y marca errores de 2 bits de memoria y de interconexin
Comprobacin de paridad de las colas de perifricos y buffers en tiempo de ejecucin
El comprobador CRC de la memoria permite validar la
integridad del cdigo en cualquier momento
Comprobadores de CPU y RAM dedicados
Dos ncleos de procesador Cortex-R4F idnticos ejecutando cada
uno el mismo cdigo de programa al mismo tiempo
Los dos ncleos de procesador sugieren doble redundancia modular (DMR). Sin
embargo, no es as. Un ncleo de procesador es el "mster" y proporciona la salida
del microcontrolador. El otro es el "esclavo" que ejecuta el mismo programa 1,5 ciclos
de reloj por detrs del mster. La salida del esclavo solo se usa para compararla
con la del mster: si se detecta una diferencia se genera una seal de error. La salida
del mster tiene un retraso de 1,5 ciclos para que las entradas al comparador estnalineadas. El propsito de esta operacin es detectar errores transitorios aleatorios,
cuya causa podra afectar a los dos procesadores de forma simultnea.
Figura 1. Microcontrolador de seguridad TMS570
Los dos ncleos estn girados uno respecto al otro para evitar fallos fsicos de causa comn
y estn protegidos del acoplamiento capacitivo por anillos de proteccin individuales.
Sofware seguroComo se ha sugerido ya, no tiene mucho sentido poner
un gran esfuerzo en el diseo de hardware seguro si el
software no se ha sometido a la misma rigurosidad durante
el proceso de desarrollo. Demostrar que el software cumpl
con los estndares requeridos puede ser un procesolargo y caro. Por este motivo se recomienda el uso de un
sistema operativo precalificado que ayude al desarrollo
de un software de aplicacin seguro. Los sistemas
operativos de tiempo real (RTOS) se utilizan cada vez ms
en diseos embebidos en tiempo real y hay varios entre
los que elegir, muchos de ellos vinculados a familias de
microcontroladores concretos. Un RTOS multiplataforma
"freeware" llamado FreeRTOS es una opcin popular
para los experimentos iniciales. Existe tambin una
versin con calificacin de seguridad, SafeRTOS, que
est certificada para ser usada en aplicaciones SIL 3. Un
microcontrolador Texas Instruments Stellaris basado
en Cortex-M3 est disponible con SafeRTOSen ROM,
facilitando as enormemente la tarea de diseo.
EstndaresIEC 61508
Seguridad funcional de sistemas elctricos/
electrnicos/electrnicos programables
relacionados con la seguridad, IEC 2000
ISO 26262
Vehculos de carretera Seguridad funcional, ISO 2011
PARA ENCONTRARLO:Para ms inormacin visite:www.rs-components.com/electronics
Cortex R4F
CortexR4F
Retraso del ciclo
Retraso del ciclo
Entrada + Control
Salida + Control
Comparacin
de errores
CCM
Autocom-
probacinAnillo elctrico
dedicado
100 m