Subscriptions
for enrichment
29 july 2015 | La Revue POLYTECHNIQUE 05/2015 | Électronique

Sécurité fonctionnelle pour appareils à commande électronique

Les commandes électroniques sont de plus en plus présentes, que ce soit dans la voiture, la production, les foyers ou même dans le corps humain. Ce qui était jusqu’alors lié par un couplage mécanique est désormais assuré par des capteurs, des dispositifs de commande, des bus de signaux, par radio ou par des actionneurs électriques. Par le passé, la sécurité de fonctionnement était garantie par la conception et le dimensionnement mécaniques. Qu’en est-il de nos jours?
Afin de protéger la vie humaine et la santé, l’électronique à commande programmée doit détecter des erreurs en temps réel, avec une fiabilité à toute épreuve. Elle doit établir un état sûr dans un délai défini, en cas d’erreur. Les normes CEI 61508 l’exigent. Les ascenseurs, les commandes de brûleurs de chauffages, les airbags, les systèmes X-by-wire, par exemple, sont des applications caractéristiques où la sécurité est primordiale. Selon les risques de dommages, elles sont cataloguées en différentes classes de risque, comme Safety Integrity Level (SIL) ou Performance Level (PL).
 
 
Une fonction et une stratégie de sécurité
Le principe suivant s’applique à l’ensemble des normes: afin de satisfaire à leurs exigences, il faut d’abord une fonction de sécurité qui détecte les erreurs de manière fiable, et ensuite une stratégie qui, en cas d’erreur, ramène le système à un état sûr dans le temps imparti. Parallèlement, un modèle de fiabilité mathématique doit être établi, permettant de calculer la probabilité de défaillance du système et la fiabilité de la fonction de sécurité.
Les normes pertinentes, telles que CEI 61508 ou leurs dérivations spécifiques aux différents secteurs, comme la norme ISO 13849, exigent certaines valeurs minimales pour la fiabilité de la fonction de sécurité. Le fait que ces dernières soient bien respectées doit être prouvé auprès d’un organisme de certification, le TÜV, par exemple.
 
 
Les modèles mathématiques de fiabilité
Pour les modèles mathématiques de fiabilité, des valeurs sont requises pour les taux de défaillance des composants du système (FIT – Failure in Time) ainsi que la couverture de test de l’autodiagnostic, afin que les défaillances soient détectées en premier lieu. Les valeurs empiriques pour les taux de défaillance figurent dans la norme SN 29500 de Siemens par exemple. Elles sont mises à disposition par les fabricants des composants. À partir de celles-ci, le modèle mathématique de fiabilité du système fournit les données permettant de documenter auprès de l’organisme de certification, la sécurité exigée par les normes.
Le fait de récupérer des chiffres fiables pour les taux FIT et le degré de couverture du diagnostic est un défi pour les concepteurs. Il existe un grand nombre de tests de mémoire, par exemple – mais quelle proportion de toutes les erreurs de mémoire possibles détectent-ils ? Et comment le prouver ? Certains fabricants de microcontrôleurs ont affronté ces exigences et offrent une assistance.
 
 
Une bibliothèque d’autocontrôle certifiée
Renesas a développé une bibliothèque d’autocontrôle certifiée par le TÜV Rheinland, selon la norme CEI 61508 pour la série de microcontrôleurs 32 bits RX631/N. Cet autodiagnostic couvre les erreurs aléatoires permanentes dans le cœur de l’unité centrale, y compris l’unité en virgule flottante et l’extension DSP, dans la mémoire vive utilisateur et dans le domaine flash. Le degré de couverture de diagnostic via ces unités fonctionnelles est alors supérieur à 90 %.
Les tests peuvent être effectués en bloc de manière cyclique ou par tranches d’exécution, pendant la durée d’exécution. Avec un seul microcontrôleur RX631/N, on obtient SIL2; pour SIL3, un système à deux puces est nécessaire. Avec sa bibliothèque, Renesas fournit également un manuel de sécurité et un manuel de logiciel de sécurité. Une licence d’évaluation gratuite permet un aperçu de la bibliothèque avant de l’acheter.
Le Safety-Ecosystem pour la série RX comprend, en outre, un compilateur d’IAR certifié selon la norme CEI 61508, l’EWRXFS. C’est également avec celui-ci que Renesas a développé sa bibliothèque d’autocontrôle. Le spécialiste des systèmes d’entraînement Wittenstein propose le système d’exploitation en temps réel SAFERTOS, certifié pour les microcontrôleurs de la série RX de Renesas.
L’utilisation de tels modules logiciels précertifiés fournit une bonne base pour la certification du terminal, tout en réduisant le temps de développement. Le manuel de sécurité indique les taux FIT et les décompose pour différentes unités fonctionnelles des puces. Le modèle de fiabilité peut ainsi être ajusté avec précision. De plus, les composants déjà réceptionnés réduisent le nombre de sujets de discussion avec l’organisme de certification. Tout cela contribue à réduire le temps avant la mise sur le marché du produit.
 
 
Des processeurs DualCore
Au lieu de la méthode par autocontrôle logiciel de l’unité centrale, des processeurs DualCore sont utilisés dans les séries V850E/P et RH850/P de Renesas, traitant le même code en pas cadencé (Lockstep). Les résultats de calcul sont comparés et les différences sont reconnues comme erreurs. Les applications cible de V850/RH850 se trouvent dans le secteur automobile.
 
Des solutions de sécurité pour les applications automobiles et industrielles
Infineon offre, sous le nom de PRO-SILTM, toute une gamme de produits composée de microcontrôleurs, de circuits intégrés d’alimentation électrique, de capteurs, de circuits d’attaque triphasés, ainsi que de logiciels et de documentations correspondants (manuel de sécurité FMEDA = Failure Mode, Effects and Diagnostics Analysis). L’organisation et les processus de développement, aussi bien pour le matériel que pour le logiciel, ont été auditionnés sur la base de la norme ISO 26262.
La famille AURIX™, y compris logiciel de sécurité et l’alimentation électrique adaptée TLF35584, est le dernier membre de la famille de produits PRO-SIL™. Celle-ci offre à l’utilisateur une solution système permettant de réaliser et de faire certifier plus facilement les applications sensibles. Son domaine d’utilisation s’étend des applications automobiles classiques jusqu’aux applications industrielles sensibles, en passant par les systèmes de transport tels que les trains, les bus ou les véhicules utilitaires dans l’agriculture ou le bâtiment.
La famille AURIX™ est hautement évolutive en matière de mémoire, de puissance de calcul et de progiciels. Elle possède une faible consommation de courant et un concept de sécurité optimisé. Afin de détecter à temps les éventuelles erreurs, les cœurs de calcul ont un cœur de sécurité en arrière-plan, traitant les calculs en parallèle, avec un décalage de deux cadences et comparant les résultats. Étant donné que de très nombreuses fonctions de sécurité sont réalisées via le matériel, Infineon a été en mesure de réduire fortement les efforts logiciels pour l’utilisateur.
Actuellement, le TÜV SÜD effectue une certification de sécurité basée sur la norme ISO 26262. D’autres certifications sont prévues, dont certaines selon des normes globales, telles que CEI 61508, ainsi que selon des normes spécifiques, telles que l’ISO 25119 pour les véhicules agricoles.
 
 
Des microcontrôleurs Dual-Core pour les applications ASIL D
STMicroelectronics a développé et fait certifié la famille de microcontrôleurs Dual-Core SPC56 L, spécialement pour les applications de sécurité fonctionnelles dans l’électronique automobile, selon les normes de sécurité CEI 61508 et ISO 26262. Cette famille dispose de deux cœurs hautes performances dotés d’une mémoire flash allant jusqu’à 2 Mo, 192 ko de mémoire vive interne, trois interfaces CAN, ainsi qu’un équipement périphérique optimisé pour les applications de sécurité et de commande moteur.
Grâce à l’architecture Dual-Core, moins de composants ont besoin d’être présents en double au niveau du système, ce qui réduit ses coûts. De plus, l’architecture offre une grande flexibilité à l’utilisateur étant donné qu’il a le choix entre les modes de traitement Lockstep et parallèle. Le traitement simultané du code identique dans les deux cœurs (Lockstep) assure un maximum de sécurité. Le traitement d’un code de programme différent (Parallel Processing) permet d’obtenir une performance de calcul aussi élevée que possible.
Étant donné que non seulement les fonctions de l’unité centrale sont dupliquées, mais que d’autres redondances sont réalisées sur la puce, le concept de sécurité de la série SPC56 L dépasse les approches habituelles. Outre un diagnostic automatique du matériel, d’autres fonctions de sécurité, telles qu’une unité CRC, une mémoire avec code correcteur, un capteur de température, une unité centrale de détection des erreurs et de commande, un dispositif de détection de défaillances de la tension ou de la cadence sont disponibles. La série SPC56 L remplit ainsi les exigences du niveau ASIL le plus exigeant ASIL D. Un organisme de certification indépendant l’a confirmé.
La série de microcontrôleurs 32 bits SPC56 L pour automobiles appartient à la famille SPC56, pouvant être employée dans la chaîne cinématique automobile, la carrosserie, le mécanisme de roulement et la zone de sécurité. Tous les produits sont basés sur le cœur e200 de l’architecture Power 32 bits avec mémoire flash intégrée des périphériques optimisés en fonction de l’application.
 
Des microcontrôleurs 8 bit, 16 bit et 32 bit
Microchip offre la Class B Safety Software Library pour les microcontrôleurs de 8 bit, 16 bit et 32 bit. Elle comprend certains API détectant les dysfonctionnements, augmentant la sécurité de l’application et aidant ainsi le concepteur à réaliser son application selon la norme CEI 60730. A ce niveau, toute une série de tests est disponible pour la mise en œuvre selon les exigences de sécurité de l’application: CPU Register Test, Programm Counter Test, Variable Memory Test, Invariable Memory (Flash/EEPROM) Test, Interrupt Test et Clock Test.
De tels modules de solution précertifiés des différents fabricants raccourcissent la phase de conception et de certification. Ils permettent d’obtenir une couverture de diagnostic des microcontrôleurs à l’aide de bibliothèques logicielles ou d’unités centrales qui se surveillent mutuellement. Des documentations fournissent les paramètres pertinents pour les modèles de fiabilité. La détermination des exigences de sécurité correspondant au couplage en est cependant la condition préalable. Dans tous les cas, il convient d’évaluer d’abord si la fourniture du fabricant remplit de manière optimale les exigences.
 
RUTRONIK Elektronische Bauelemente AG
1400 Yverdon-les-Bains
Tél.: 024 423 91 40
www.rutronik.com