Functionele veiligheid versterkt beveiliging voor industriële ontwerpen in 24/7/365 continubedrijf

In industriële omgevingen waar apparatuur doorgaans continu in bedrijf is, zijn veiligheid en betrouwbaarheid essentieel. Dit betekent dat de kritieke industriële apparatuur van een systeem altijd adequaat beveiligd moet zijn – ook bij stroomuitval, ook als het systeem net wordt afgesloten of opgestart.

De mechanismes voor uitvalvrije ingebedde systemen zijn goed bekend, maar nieuw voor het industriële segment is dat er nu ook compliance vereist is op het gebied van functionele veiligheid. De technologie voor functionele veiligheid zorgt voor een nieuwe laag aan compleet gestandaardiseerde beveiliging voor het vakgebied van industrieel ontwerp, waar de focus eerder vooral op betrouwbaarheid lag.

De industriële ontwerpen die worden beïnvloed door de technologie voor functionele veiligheid zijn divers: van zelfstandige robots tot intelligent vervoer en medische apparatuur die letterlijk van levensbelang is. Ook de componenten met functionele veiligheid zijn divers, met onder andere CPU's, SRAM's en flashgeheugens. Systeemontwikkelaars kunnen gebruik maken van componenten met een veiligheidscertificaat om te bewijzen dat hun ontwerp voldoet aan de vereisten voor een bepaald SIL – het "safety integrity level".

MCU's met ingebouwde functionele veiligheid

Functionele veiligheid is een ingewikkelde en tijdrovende taak die ontwikkelaars van industriële ontwerpen vaak voor uitdagingen stelt. Een goed voorbeeld zien we in systemen die interacties tussen robots en mensen verwerken. Een systeem dat is ontworpen volgens de meest recente specificaties voor functionele veiligheid moet een uitwerking van lastige normen omvatten, en bijvoorbeeld ook derde partijen selecteren voor de softwareondersteuning.

In dat geval kunnen duale MCU-configuraties een eenvoudige veiligheidsverificatie mogelijk maken met diagnostische software. In dat scenario hoeft de ontwerper van het ingebedde design geen MCU-specifieke software voor de functionele veiligheid meer te ontwikkelen.

De RX-productreeks van microcontrollers van Renesas Electronics is een uitstekend voorbeeld. De microcontrollers voldoen aan de vereiste van de standaard IEC 60730 voor functionele veiligheid en ze maken een uitvalvrij bedrijf mogelijk in de industriële apparatuur waarin ze worden toegepast. Bovendien heeft Renesas recentelijk zijn RX-productfamilie met MCU's uitgebreid met software voor functionele veiligheid die is gecertificeerd volgens IEC 61508 SIL3. Deze nieuwe veiligheidsfunctie zal worden gebruikt voor alle Renesas MCU's die zijn gebaseerd op de RXv2 core van het bedrijf.

De oplossing voor functionele veiligheid wordt geleverd met een SIL3 System Software Kit met capaciteit voor wederzijdse diagnostiek die uitgaat van een duale MCU-structuur, en waarmee software kan worden gescheiden tussen veilige en niet-veilige functies (Afbeelding 1). Het MCU-ontwerp met duale structuur is opgebouwd rondom de RX71M en RX651 microcontroller.

Afbeelding 1: Renesas claimt de eerste SIL3-certificering ter wereld te behalen door wederzijdse diagnostiek uit te voeren in een duale MCU-architectuur. (Bron afbeelding: Renesas Electronics)

Een andere microcontroller die voldoet aan de vereisten voor functionele veiligheid in industriële toepassingen is de Hercules RM57Lx van Texas Instruments. Hiermee kunnen ontwerpers snel en eenvoudig voldoen aan de vereisten van de standaard IEC 61508. Het biedt verschillende veiligheidsfuncties voor uiteenlopende industriële toepassingen, zoals de ABS voor vliegtuigen, programmeerbare logische controllers (PLC's), motoren en aandrijvingen en spoorwegseinen.

De RM57Lx microcontrollers bouwen voort op de veiligheidsfuncties van de Hercules MCU en zijn voorzien van single-bit foutherstel en double-bit foutdetectie die ECC (error correction code, foutherstelcode) gebruikt voor instructie- en gegevenscaches en geselecteerde perifere RAM-buffers.

Flashgeheugen met functionele veiligheid

Functionele veiligheid wordt vaak in verband gebracht met automotive ontwerpen, maar de MCU-voorbeelden hierboven laten zien dat het ook bijzonder relevant is voor industriële ontwerpen, zeker voor toepassingen die in continubedrijf moeten werken. Daarom is ook het flashgeheugen van belang: ook dit is een essentieel onderdeel van industriële systemen die niet mogen uitvallen. Het geheugen moet dus net zo goed voldoen aan de relevante veiligheidsnormen. In industriële designs wordt het flashgeheugen daardoor een voorloper als het gaat om beveiligde opslag en betrouwbare toegang tot ingewikkelde systeemsoftware en algoritmes.

Er zijn geheugenarchitecturen met meerdere scheidingen, waarbij ieder gedeelte onafhankelijk is geoptimaliseerd voor hoge belastbaarheid en langdurige opslagcapaciteit. De hoge belastbaarheid en het gegevensbehoud op de lange termijn zijn van cruciaal belang om industriële ontwerpen te beschermen tegen systeemuitval.

Een voorbeeld is de Semper™ NOR flash van Cypress Semiconductor, die is gebaseerd op de EnduraFlex-architectuur van het bedrijf (Afbeelding 2). Dit geheugen kan meer dan een miljoen cycli van programmeren en wissen aan en garandeert gegevensbehoud voor minimaal 25 jaar onder extreme temperaturen van -40 °C tot +125 °C. De EnduraFlex-architectuur maakt een scheiding mogelijk als veelvoudig gegevens worden weggeschreven, die kan worden geconfigureerd voor 1,28 miljoen programmeer-wis-cycli voor gedeeltes met een dichtheid van 512 Mbit en 2,56 miljoen cycli bij 1 Gbit.

Afbeelding 2: het blokdiagram van de Semper NOR flash -architectuur laat de ingebedde bouwstenen voor de functionele veiligheid en betrouwbaarheid goed zien. (Bron afbeelding: Cypress Semiconductor)

De Semper NOR flash is voorzien van SafeBoot en functies voor foutdetectie om veilige en betrouwbare industriële operaties te garanderen. Het geheugen ondersteunt zowel enkele als dubbele ECC door een ingebedde ECC te genereren tijdens de geheugenarray en programmering. Goed om te weten: NXP Semiconductors maakt als MCU-leverancier gebruik van de voordelen van de Semper NOR flash voor zijn aanbod van industriële MCU's.

Toolsets voor functionele veiligheid

Hiermee zijn we aangekomen bij het laatste stukje van de puzzel: toolsets voor industriële systemen en apparaten met essentiële vereisten aan de veiligheid en betrouwbaarheid. De toolsets voor industriële embedded systemen worden inmiddels ook steeds meer toegespitst op de functionele veiligheid.

Het aantal embedded systemen met vereisten op het gebied van functionele veiligheid groeit gestaag. Hiermee groeit ook de behoefte aan goede tools voor de veiligheidsanalyse, die werken op componenten met een veiligheidscertificatie en bijvoorbeeld veel voorkomende fouten analyseren.

Er zijn technieken voor kwantitatieve analyse, zoals de FMEDA, de Failure Mode Effects and Diagnostic Analysis, die helpen om de effectiviteit van een component te bepalen – bijvoorbeeld de veiligheidsintegratie van een MCU. Er zijn ook diagnostische softwaretools die het gat overbruggen tussen de veiligheidsmaatregelen in de hardware en de vastgelegde veiligheidsvereisten.

Renesas gebruikt bijvoorbeeld een gecertificeerde toolsuite van IAR Systems om diagnostische software te ontwikkelen voor ingebedde toepassingen. De IAR Embedded Workbench voor RX-MCU's (diagram in afbeelding 3) bevat een krachtige compiler en debugger die zijn ingebouwd in een gebruiksvriendelijke Integrated Development Environment (IDE).

Afbeelding 3: Zo ondersteunt de IAR Embedded Workbench veiligheidsgerelateerde softwareontwikkeling voor de Renesas RX microcontrollers. (Afbeelding: IAR Systems Software)

De toolsets die worden gebruikt om systemen te valideren die essentieel zijn voor de veiligheid, kunnen uitsluitend gericht zijn op de relevante veiligheidsaspecten om de betrouwbaarheid van industriële ontwerpen te verhogen. Meestal bieden ze uitgebreide grafische inhoud met waarschuwingssignalen en tekst.

De belangrijkste conclusie: de veiligheid moet in de ontwerpfase worden ingebouwd met gebruik van zowel hardware als software. Gelukkig hebben ontwikkelaars de beschikking over beide componenten.